Det har länge funnits ett behov av att anlita säkerhetsföretag för att granska säkerheten på webbplatser och i system. Om man hanterar kontokortsnummer i till exempel en webbshop är det till och med krav på att genomföra penetrationstester. Tack vare den frekventa rapporteringen i media om intrångsincidenter har säkerhet blivit ett ämne som börjar diskuteras.
Detta behov i kombination med ett annat trendigt fenomen, crowdsourcing, blir bug bounty. Enkelt förklarat kan man säga att företag går ut med att man är villiga att betala för att allmänheten hittar sårbarheter i företagets system, och hackare rapporterar således funna sårbarheter till företaget i fråga mot ersättning, ofta monetär sådan.
Det här innebär att godsinnade hackare nu kan hjälpa till med att säkra system utan att riskera rättsliga åtgärder, och de kan dessutom tjäna en del pengar på kuppen. För den som saknar samvete är det dock fortfarande ofta mer ekonomiskt fördelaktigt att sälja sårbarheterna till kriminella eller att själv utnyttja dem.
Det finns flertalet aktörer som har hoppat på tåget och försöker organisera mötet mellan hackare och företag. En av de största i dagsläget är Hackerone, som kan skryta med att man har förmedlat runt 25 miljoner kronor på under två år, pengar som alltså gått till hackare som har rapporterat in sårbarheter.
För att ta ett specifikt exempel har bitcoin-plånboken Coinbase, som sedan ett drygt år tillbaka har ett bug bounty-program publicerat på Hackerone, åtgärdat 145 buggar. Det är ett företag i en bransch vi läst om mängder av intrång mot. Det fungerar uppenbarligen, och internet blir en trevliga plats när sårbarheter åtgärdas innan de hinner utnyttjas.
Vad är då baksidan av den här utvecklingen? Jo, många tycks ha en övertro gentemot bug bounty. Allt för många tycks tro att de är säkra bara för att de betala för att sårbarheter upptäcks, och därmed inte behöver bry sig om säkerheten för övrigt. Man tror att man inte längre behöver anlita penetrationstestare, utan kan lita till fullo på sina bug bounty-program.
Det går inte att komma ifrån att penetrationstestare, alltså proffs inhyrda för att granska säkerheten, och bug bounty-deltagare beter sig olika i vissa avseenden. De två primära skillnaderna är tillgång till information och ren lathet.
Det förstnämnda är väl det mest uppenbara – en bug bounty-deltagare har i normalfallet lika mycket information om systemen som granskas som en vanlig användare har.
Bug bounty-deltagare är likt övriga mänskligheten lata, man går efter de lätta pengarna. Ofta betalas summan ut i relation till risken med sårbarheten och inte komplexiteten i att hitta dem. Det gör att risken är stor att man missat sårbarheter som är halvfarliga men komplicerade att hitta.
Sammanfattningsvis tycker jag att bug bounty som koncept är jättebra, men att vi samtidigt inte får glömma bort traditionell penetrationstestning. De två metoderna ersätter inte varandra, utan kompletterar varandra. Kom ihåg det!
Bra:
United Airlines inför ett bug bounty-program med flygmil som ersättning. Det här är positivt redan i den bemärkelsen att det innebär fler bug bounty-program, men framförallt för att ersättningen i form av flygmil känns som en rolig lösning.
Dåligt:
Hola får uttrycket ”om tjänsten är gratis så är det egentligen du som är produkten” att ännu en gång visa sig stämma. Företaget bakom vpn-tjänsten som framförallt har använts för att kringgå geoblockeringen av media har ertappats med att sälja användares bandbredd på ett sätt man varit dålig på att informera om.