Poměrně častou brzdou zavedení bug bounty programu ve firmách je rozhodnutí managementu o tom, že se nechtějí vystavovat „světu hackerů“. Podle jejich názoru, pokud o nich hackeři vědí, je vyšší šance, že je napadnou.
Říkají si, že jsou jen malá bezvýznamná firma, o které nikdo neví, a proto je hackeři nenajdou. To je však nepřesné z několika důvodů.
Pokud o vás nikdo neví, máte špatný marketing
Málokterá firma chce, aby o ní nikdo nevěděl. Způsob, kterým se o vás dozví váš zákazník, je stejný jako způsob, jakým se o vás může dozvědět libovolný útočník. Marketingové oddělení vaší firmy chce, aby o vás vědělo co nejvíce potenciálních zákazníků – aby vás snadno našli a případně si koupili vaše produkty nebo služby. A přesně tohle je jeden ze způsobů, jakým se o vás může dozvědět hacker.
Neetičtí hackeři vás najdou i pomocí robota – automatizovaně
Etičtí hackeři hledají cíle tak, že se dívají, kdo jim za nalezení bezpečnostní zranitelnosti nebo penetrační test zaplatí – například se přihlásí do mezinárodní bug bounty platformy Hacktrophy a podívají se tam, které firmy jim nabízejí odměnu za nalezení zranitelnosti.
Neetičtí hackeři hledají své cíle většinou automatizovaně, podobným způsobem, jak se dostanete do indexu vyhledávače jako například Google. Robot prochází internet, sleduje hypertextové odkazy, připojuje se na různé IP adresy a snaží se odhalit nezabezpečený IT systém nebo potenciální cíl. Pro neetické hackery je dokonce rozumné nedívat se na seznamy bug bounty platforem jako Hacktrophy, protože u nich je jasné, že se na ně dívali už etičtí hackeři, kteří chtěli vydělat odměnu – proto je pro ně rozumnější dívat se jinde, kde najdou snazší cíl.
Etičtí a neetičtí hackeři mohou používat podobné techniky k hledání bezpečnostních zranitelností, ale své cíle si vybírají jinak. Etičtí hackeři jsou vázáni smluvními podmínkami a etickou možností výdělku. Neetičtí hackeři zkoušejí všechny cíle, které by mohly být úspěšné.
Závěr
Motivování etických hackerů, aby pracovali pro vás, nijak negativně neovlivní množství útoků na vaši aplikaci od neetických hackerů. Postupy, které volí etičtí a neetičtí hackeři při vybírání cílů jsou různé. Vyzkoušejte si spolupráci s mezinárodní platformou Hacktrophy, ve které vám pomohou zlepšit stav bezpečnosti vašich IT projektů etičtí hackeři.
Autorem článku je Juraj Bednár, spoluzakladatel Hacktrophy