Bug bounty-program – där hackare blir godhjärtade prisjägare

Bug bounties – att företag bjuder in hackare för att hitta säkerhetsluckor och betalar ut lösensummor är ett växande fenomen i cybersäkerhetsvärlden. Och det kan vara ett utmärkt komplement till mer traditionellt säkerhetsarbete – för en del organisationer.

Författare: F-Secure Business Security Insider
Datum: 28.03.2017
Lästid: 2 Minuter

Det är vad samtalet i det andra avsnittet av podcasten Säkerhetssnack kretsar kring. Med sig har Olle Segerdahl denna gång Mathias Karlsson, även känd som @avlidienbrunn på Twitter – och passande nog med tanke på temat för avsnittet även på tjänster som Hackerone och Bugcrowd som hjälper företag att organisera bug bounty-program.

Säkerhetssnack: Nytt avsnitt varannan vecka. Ett tema varje gång. Säkerhetsexperterna Olle Segerdahl och Christoffer Jerkeby.

Mathias Karlsson har gjort sig ett namn på båda två och är också det senaste tillskottet i F-Secures växande grupp av säkerhetskonsulter.

Han har varit med och jagat buggar i bug bounty-program ända sedan de först dök upp i början av 2010-talet, och har bland annat hittat säkerhetsluckor i tjänster som Twitter och Uber.

Konceptet bygger på att företag bjuder in hackare, oftast så kallade vithattar – etiska hackare, till att hitta säkerhetsluckor i deras produkter eller tjänster och betalar ut en lösensumma om de hittar något. Ofta är summan högre ju mer avancerade och riskfyllda luckor som hittas, där buggar som gör det möjligt att köra kod på distans är något av den heliga graalen.

Om en stor del av det traditionella konsultarbetet kan ses som att outsourca organisationens säkerhetsarbete så är bug bounties ett sätt att crowdsourca det. Själva lösensumman är ett viktigt incitament, om än inte det enda.

Sajter som Hackerone och Bugcrowd delar ut poäng till de främsta ”prisjägarna” och en plats högt upp på topplistan är åtråvärt för många.

I avsnittet bjuder Olle och Mathias på historiken bakom bug bounties från insidan, hela vägen fram till läget idag där det hela blivit mainstream och lockat över tidigare motståndare som Microsoft.

Mathias konstaterar att bug bounties framförallt fungerar för företag och organisationer som har verksamhet och tjänster på det publika internet och är bäst lämpat för dem som redan låtit traditionella säkerhetskonsulter titta på

”Man betalar inte per timme, alltså har man råd att ha ett jättestort scope”, säger Mathias Karlsson i avsnittet.

På så sätt ökar sannolikheten att en bug bounty hittar saker som traditionella säkerhetskonsulter aldrig skulle få i uppdrag att titta efter.

Lyssna på hela avsnittet för att få fler tips från Mathias och Olle, för företag som funderar på att köra igång ett bug bounty-program för att säkra sina applikationer och tjänster ytterligare.

 

[Foto: Charlie Brewer, Flickr]


Lämna ett svar

Fyll i dina uppgifter nedan eller klicka på en ikon för att logga in:

WordPress.com Logo

Du kommenterar med ditt WordPress.com-konto. Logga ut / Ändra )

Twitter-bild

Du kommenterar med ditt Twitter-konto. Logga ut / Ändra )

Facebook-foto

Du kommenterar med ditt Facebook-konto. Logga ut / Ändra )

Google+ photo

Du kommenterar med ditt Google+-konto. Logga ut / Ändra )

Ansluter till %s