Har Bug Bounty utvecklats till en ny typ av penetrationstest?

Oliver Rickfors
22.01.2019

Bug Bounty har blivit allt mer populärt, men vad är det egentligen? Och är det någon skillnad mellan det och vad vi penetrationstestare gör? Jag försöker i detta inlägg reda ut begreppen. 

"Crowd sourcing" har blivit en populär term som lägger grunden för Bug Bounty-plattformarna som funnits ute i det vilda sedan 2012. Istället för att handplocka säkerhetstestare baserat på kompetens, utbildning och erfarenhet så vänder sig bolagen till Bug Bounty-plattformar och öppnar program som definierar vad dom vill ha testat.

Detta innebär att vem som helst kan gå in på Bug Bounty-plattformens site, registrera sig, och börja göra säkerhetstester mot ett bolags endpoints/siter med deras godkännande.

Avkastningen för testandet är till en början inte särskilt lukrativt eftersom testaren endast får betalt om den hittar buggar som är tillräckligt kritiska. Dessutom är det ofta en stor kapplöpning om vem som kan hitta buggarna, så oftast är buggarna redan rapporterade.

Om inga pengar erbjuds kan testaren få ett omdöme från bolaget som kommer hjälpa testaren att synas i plattformens urval. Om testaren får tillräckligt med goda omdömespoäng så kommer användaren hamna högre upp i listan av aktiva medlemmar och därefter ha chansen att hamna i privata program. I de privata programmen blir endast ett antal testare utvalda, baserat på användarens omdömespoäng.

Med detta upplägg har det strömmat in testare från hela världen till plattformarna och ett starkt och levande community har skapats. Den goda "white hat"-delen av hackning tar nu större plats än den äldre idéen om att hackare är förknippas med kriminalitet.

Med denna trend som medvind börjar duktiga testare dela med sig av sina verktyg och metoder genom Github, Youtube, Medium och andra kanaler. Kritiska buggar som blivit patchade exponeras publikt från stora bolag för massans intresse, vilket tidigare hade varit otänkbart. Vad som en gång var ett svart hål av mystik och okunskap är nu ett smörgåsbord av tricks och hacks som vem som helst kan ta del av och börja experimentera med, såklart på egen risk.

Förutom ett levande och intressant community så går det många funderingar på hur det här kommer påverka marknaden för säkerhetstester. Kommer kunderna börja vända sig direkt till plattformsägarna och helt enkelt ta betalt per hittad bugg? Det ser bra ut kostnadsmässigt, men det finns risker med att öppna ett publikt program.

Testarna i ett publikt program kommer göra vad dom vill. Även om policyn är tydligt definierad från kunden så finns inga krav på testaren. Det finns inget skyddsnät som garanterar att testaren inte säljer vidare en kritisk sårbarhet till någon annan som tar bättre betalt.

De som övervakar nätet internt på bolaget kommer bli överbelastade och det blir svårt att skilja på vad som är ett riktigt hot och vad som faktiskt är beställda säkerhetstester.

Lösningen på det beskrivna problemet har varit att öppna privata program där endast utvalda testare får information om vilka end points som får testas. Vissa program kräver även VPN-tunnel eller IP-vitlistning för att testet ska börja. Här kanske pentestare börjar känna igen sig, eftersom det är såhär pentest vanligtvis ser ut innan Bug Bounty kom in i bilden.

Nu är cirkeln sluten. Det är bara betalningsmodellen som skiljer sig mellan Bug Bounty och penetrationstest.

Oliver Rickfors
Penetrationstestare på Knowit

 

Vill du jobba med Oliver? Läs mer här.

Prenumerera på vårt nyhetsbrev

Knowit Security

Välkommen till Knowit Insights säkerhetsblogg! Här hittar du det senaste inom it- och informationssäkerhet