Profesjonalni audytorzy kontra łowcy nagród

Firmy, którym brakuje środków na prowadzenie własnych programów nagradzania za wykryte luki bezpieczeństwa w aplikacjach, mogą zdecydować się na outsourcing w tym zakresie.

Od lat niezależni eksperci od bezpieczeństwa zgłaszają producentom luki, które samodzielnie wykryli. Z reguły w zamian mogą liczyć na zestaw reklamowych gadżetów. Jeśli jednak producent niewiele daje, nie może też liczyć na zbyt wiele zgłoszonych problemów. Dlatego pod koniec października na ciekawy krok zdecydowało się Yahoo!. Ten znany portal internetowy oferuje nagrody w wysokości od 150 do 15 000 dolarów dla każdego, kto zgłosi oficjalnym kanałem informację o nowej, oryginalnej lub stanowiącej duże zagrożenie luce. Firma deklaruje, że sprawdzi każdy zgłoszony błąd w ciągu kilku godzin, niezależnie od pory dnia i nocy. Wykryty błąd zostanie przeanalizowany przez zespół bezpieczeństwa, a kontakt ze zgłaszającym zostanie nawiązany w ciągu 2 tygodni.

Yahoo! nie jest pionierem na tym polu. Wiele dużych firm, jak Facebook, Google, czy Microsoft prowadzi podobne programy. Taka inicjatywa wymaga dużego zaangażowania. Trzeba mieć zarówno środki finansowe oraz zasoby ludzkie do szybkiego weryfikowania zgłoszeń. Jednocześnie niewiadomą pozostaje przyszła liczba zgłoszeń i jaka część z nich będzie dotyczyć faktycznie występujących problemów.

Zobacz również:

  • Testy penetracyjne systemów IT - czy warto w nie zainwestować?
  • Amerykański Sidewalk firmy Amazon może być cenny dla biznesu

Mimo to w praktyce takie podejście okazuje się bardzo efektywne w zakresie wykrywania błędów, jak również w kwestii ograniczania kosztów w tym obszarze. Testy penetracyjne czy audyty bezpieczeństwa pochłaniają znacznie większe sumy, a jednocześnie polegają na wiedzy ograniczonej liczby ekspertów. Ostatecznie pozwalają na wykrycie mniejszej liczby błędów, a wynagrodzenie zespołu nie zależy od ostatecznych wyników.

Premiowanie nagrodami opiera się na innej zasadzie - płatności za wykryte błędy (pay-per-bug). Potencjalnie znacznie większa liczba ekspertów może zaangażować się w takie testy, nie ma również limitu czasowego. Poza tym, gdy oprogramowanie zostanie zaktualizowane, łowcy nagród będą od razu testowali nową wersję i wykrywali w niej kolejne błędy. Teoretycznie nie ma limitu błędów, które mogą zostać wykryte. Nie ma więc też limitu środków, które trzeba będzie przeznaczyć na nagrody. Jeśli nawet firma zdecyduje się na wprowadzenie takiego programu, w każdej chwili może go zamknąć, gdyby okazał się zbyt kosztowny.

Tester na zlecenie

Co może zrobić firma, która nie ma środków finansowych bądź ludzkich, aby wystartować z własnym programem? Okazuje się, że ten problem dostrzegło już kilka start-upów na całym świecie, m.in. CrowdCurity (Dania), Bugwolf (Australia) czy Synack i Bugcrowd (USA), oferujących usługi w tym zakresie. Koncepcja okazała się interesująca dla inwestorów szukających młodych, obiecujących spółek. Synack pozyskało już 1,5 miliona dolarów na swoją działalność, natomiast Bugcrowd zdobył 1,6 miliona.

Przed zleceniem usług wykrywania luk trzeba wyjaśnić z wykonawcą kilka istotnych kwestii

- jaki jest czas prowadzenia badań;

- jakie zweryfikować kompetencje testerów;

- ile osób będzie zaangażowanych w testy;

- czy testerzy korzystają z platformy będącej pod kontrolą firmy i jakie są możliwości monitorowania prac;

- czy program ma stały czy otwarty budżet;

- jaka dokumentacja o błędach zostanie dostarczona zleceniodawcy.

Każda z wymienionych firm działa w nieco odmienny sposób. Za przykład niech posłuży BugWolf. Firma rekrutuje ekspertów od bezpieczeństwa bądź korzysta z internetowych społeczności skupiających się na tej tematyce. Pozyskanych ekspertów organizuje w zespoły składające się z ok. 10 osób. Następnie za stałą kwotę, z reguły pomiędzy 5 a 20 tysięcy dolarów, zleca grupie trzy- czterodniowe przebadanie strony internetowej czy aplikacji mobilnej. BugWolf, po zweryfikowaniu wykrytych przez zespół błędów, dystrybuuje nagrodę pomiędzy poszczególnych członków zespołu w zależności od tego, ile i jak znaczących błędów wykryli.

W przypadku firmy Synack testy trwają ok. 90 dni, a budżet ma bardziej otwarty charakter. Zdaniem firmy nie jest to problem, ponieważ zleceniodawcy chętnie płacą za wykrycie dodatkowych błędów. Program nagród pozwala przyspieszyć cykl wykrywania błędów z tygodni do dni. Jednak przedstawiciele wymienionych firm nie postrzegają się, jako kompletnej alternatywy dla testów penetracyjnych i audytów, lecz raczej jako ich uzupełnienie.

Kwestia zaufania

Przy korzystaniu z takich usług pojawia się pytanie, czy można zaufać osobom, które prowadzą testy? Bo być może zachowają informacje o najpoważniejszych błędach dla siebie, aby sprzedać je komuś innemu lub przygotować exploita. Problem dotyczy przede wszystkim testowania krytycznych aplikacji z zaplecza firm. W takich przypadkach kluczowa jest wiedza o osobach prowadzących testy. Muszą to być zaufani ludzie, którzy przejdą wcześniej lustrację.

W tego typu testy mogą być zaangażowani specjaliści z całego świata. W określonych sytuacjach warto zastrzec, że akceptowalni są eksperci, np. tylko z wybranego kraju. Jedna ze wspomnianych firm, Synack, wykorzystuje własną platform testową, która pozwala łowcom nagród na łączenie się przez tunele VPN. W ten sposób firma weryfikuje własnych testerów.

Ostatecznie, zlecenie przeprowadzenia testów sprowadza się do zaufania do wykonawcy i jego reputacji, analogicznie jak w przypadku firm przeprowadzających testy penetracyjne.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200