Dat de hackercultuur niet meer weg te denken is, dat wisten we al. Dat er veel bad guys zijn, idem. De white hats zijn ons ook niet onbekend. Toch reikt de hacker-cultuur veel verder dan fulltime zelfstandige hackers.
Er bestaat een wereldwijd netwerk van mensen die er plezier uithalen om zaken te ontrafelen en weer in elkaar te zetten. Steeds meer softwarebedrijven geven deze gebruikers de kans om deel te nemen aan kwaliteitscontrole. Deze bedrijven bieden financiële prikkels voor hulp, zoals beloningen voor het vinden van bugs. En dat werkt.
In februari kondigde Lufthansa een nieuw beloningsprogramma aan voor het vinden van bugs na een succesvolle lancering van het vergelijkbare, beperkte beloningsprogramma voor www.worldshop.eu. ‘Onze websites zijn een aantrekkelijk doel voor cybercriminelen. De diefstal en handel van gegevens is uitgegroeid tot een lucratieve business. We willen dat onze klanten zich comfortabel voelen en ons vertrouwen met hun gevoelige gegevens. Bovendien is de veiligheid van onze klanten altijd onze hoogste prioriteit geweest. Onze normen om klantinformatie te beschermen zijn al hoog en we willen ze nog verder verbeteren met dit beloningsprogramma voor het vinden van bugs. Het thema gegevensbeveiliging heeft een zeer hoge prioriteit voor iedereen in de Lufthansa Group’, aldus Andreas Dürkop, vice-president it-beveiliging van de Lufthansa Group.
Bug bounty programma’s
Zowel Intel als Microsoft hebben eerder dit jaar nieuwe beloningsprogramma’s aangekondigd. Intel’s programma is alleen op uitnodiging en wordt uitgevoerd op het HackerOne-platform. Microsoft heeft dit specifieke programma gedurende drie maanden uitgevoerd (het eindigde op 17 juni) waarbij gebruikers vroegtijdige toegang kregen tot nieuwe Office-mogelijkheden en -beveiligingsfuncties om deze te testen op kwetsbaarheden.
Volgens een analyse van HPI werden in de afgelopen twaalf maanden circa 5577 meldingen betreffende kwetsbaarheden van software geregistreerd. Zelfs de beste ontwikkelaars kunnen niet op alle kwetsbaarheden en aanvalshoeken anticiperen, en dat is waar beloningsprogramma’s voor het vinden van bugs, ook wel bekend als bug bounty voor het vinden van kwetsbaarheden, zogeheten vulnerability reward programs (vrp’s), een belangrijke rol spelen.
Sommige softwareleveranciers betalen beveiligingsonderzoekers om op verantwoordelijke wijze een beveiligingslek te onthullen. De afgelopen jaren zien we hierin een toenemende belangstelling, waarbij bedrijven bestaande programma’s uitbreiden en nieuwe programma’s introduceren. Volgens Bugcrowd zijn beloningsprogramma’s voor het vinden van bugs sinds 2013 van jaar tot jaar met gemiddeld 210 procent gestegen. De snelste stijging in bedrijven die in de afgelopen twaalf maanden beloningsprogramma’s lanceerden, werd gevormd door bedrijven met vijfduizend+ werknemers.
Effectieve budgetbesteding
Veel grote bedrijven voeren regelmatig tests en controles uit op hun beveiligingsmaatregelen, maar beloningsprogramma’s kunnen een aanvullende maatregel zijn, om een groter aantal mensen te stimuleren hun systemen te blijven testen. Aangezien deze programma’s alleen uitkeren bij bewezen resultaten, zijn ze voor organisaties een effectieve manier om hun budget voor security aan te besteden.
Uiteindelijk zijn beloningsprogramma’s van belang omdat ze de eindgebruikers ten goede komen. Gebruikers profiteren ervan wanneer bugs snel worden gevonden voordat ze tot een beveiligingsprobleem leiden. Gebruikers profiteren ook omdat goed ontworpen vrp’s extra obstakels opwerpen voor de bad guys. Bij Dropbox hebben we veel geleerd van meer dan alleen de individuele bugs. We hebben ook interessante threaths, exploit vectors en nieuwe onderzoeksmethoden opgespoord en bovendien onze prioriteiten verlegd op basis van de ontvangen bug-meldingen.
Een beveiligingsonderzoeker ontdekte bijvoorbeeld een beveiligingslek in de video processing code die door de meeste internetdiensten wordt gebruikt. Het security team van Dropbox had dit probleem voorzien en had onze code dan ook zwaar beveiligd. Deze kwetsbaarheid had hierdoor bijna geen impact op onze systemen. We vonden echter dat het onderzoek waardevol was en ons iets nieuws had geleerd. Daarom gaven we een beloning van meer dan 2700 dollar voor het rapport. Een videobestand dat bestandsinhoud leest is namelijk een redelijk geavanceerde vector.
Simpel gezegd maken vrp’s het black hats moeilijker om zwakke punten te ontdekken. Het oplossen van kwetsbaarheden die via een vrp gevonden zijn, vergroten de moeilijkheid en daarmee de winstgevendheid voor kwaadwillende hackers, om een zero-days aanval uit te voeren. Dat komt omdat de omvang van latente kwetsbaarheden is verminderd. Daarnaast kunnen de ervaringen met beloningsprogramma’s, verbeteringen leveren voor mitigation-technieken en helpen bij het identificeren van andere, verwante kwetsbaarheden en bronnen van bugs. Tenslotte zorgen vrp’s vaak voor meer welwillendheid in de gemeenschap van beveiligingsonderzoekers. Op deze manier zijn vrp’s een aantrekkelijk instrument om productveiligheid te verhogen en klanten te beschermen.
Sommige softwareleveranciers onderhouden vrp’s niet omdat de kosten per bug onvoldoende winstgevend zouden zijn. Maar in een wereld van steeds complexere bedreigingen die door wereldwijde netwerken van criminelen worden veroorzaakt, is het moeilijk om het positieve netwerkeffect van een goed ontworpen vrp te negeren.
Het komt erop neer dat alle hackers blindelings proberen af te slaan, een onrealistische aanpak is voor elke organisatie. Goed beheerde vrp-programma’s helpen softwareproviders het netwerkeffect te gebruiken. Zo zijn gebruikers beter te beschermen. En hoewel geen enkele tactiek genoeg is om black hats buiten de deur te houden, hebben vrp’s hun plaats in het arsenaal van cybersecurity verdiend. Ik ben dan ook van mening dat dit een belangrijke factor vormt in het bepalen van welke software toe te voegen aan de stack en welke software voor meer risico’s zorgt, dan het waard is.
