Ein laptop steht auf einem Tisch während des Chaos Communication Congress, eine jährliche hacker-Konferenz in Deutschland statt. Foto: Jens Schlüter / Getty
Wie weit zurück, wie 2015, großen Firmen wie Sony und Intel haben versucht, crowdsource Bemühungen zur Sicherung Ihrer Systeme und Anwendungen durch die San Francisco startup HackerOne. Durch den “bug bounty” – Programm von der Firma angeboten, Hacker einmal angesehen, wie ein ärgernis, oder schlimmer noch, wie kriminelle—können identifizieren von Sicherheitslücken und bekommen für Ihre Arbeit bezahlt.
Am Dienstag, HackerOne veröffentlicht eine fülle von Daten in anonymisierter Form zu unterstreichen, nicht nur die Breite seines eigenen Programms, sondern markieren die führenden Arten von Fehlern entdeckt, die von seiner virtuellen Armee von Hackern, die haben geerntet, die finanzielle Belohnungen durch das Programm. Einige $29 Millionen Euro wurden ausgezahlt, so weit mit Bezug auf den top 10 am meisten belohnt Typen von Sicherheits-Schwäche allein, so das Unternehmen.
HackerOne Märkte-der-bounty-Programm als ein Mittel, um sicher zu imitieren, eine authentische Art der globalen Bedrohung. “Es ist die beste Verteidigung die man haben kann, gegen das, was Sie tatsächlich Schutz gegen,” sagte Miju Han, HackerOne director of product management. “Es gibt eine Menge von Sicherheits-tools da draußen, die haben theoretisch Risiken—und wir auf jeden Fall unterstützen diese Werkzeuge auch. Aber was haben wir wirklich im bug-bounty-Programme ist ein real-world security risk.”
Das Programm, natürlich, hat seine eigenen Grenzen. Die Teilnehmer haben die Möglichkeit zu definieren, die den Umfang des Engagements und in einigen Fällen—wie mit dem US-Verteidigungsministerium, ein “hackable target”—schränkt auf die Systeme und Methoden sind berechtigt, im Rahmen des Programms. Kriminelle Hacker-und ausländischen Gegner sind natürlich nicht gebunden an solche Regeln.
Grafik: HackerOne
“Bug bounties hilfreich sein kann, wenn Sie bereits investiert in Ihre eigene Sicherheit, die Prävention und Aufdeckung”, sagte Katie Moussouris, CEO von Luta-Sicherheit “in Bezug auf die sichere Entwicklung, wenn du code veröffentlichen, oder sichere Schwachstellen-management, wenn Ihre Organisation ist meist nur versuchen, Schritt zu halten mit dem patchen der vorhandenen Infrastruktur.”
“Ist es nicht geeignet Sie zu ersetzen Ihre eigenen präventiven Maßnahmen, noch kann Sie es ersetzen penetration testing”, sagte Sie.
Nicht überraschend, HackerOne der Daten zeigt, dass die überwiegend cross-site-scripting-Angriffe (XSS)—, in denen bösartige Skripte injiziert in ansonsten vertrauenswürdigen Websites—bleiben die oben gemeldete Sicherheitsanfälligkeit durch das Programm. Der top-10 Arten von bugs berichtet, XSS-macht 27 Prozent. Keine andere Art von Fehler nahe kommt. Durch HackerOne, einige $7,7 Millionen bezahlt hat, um XSS-Schwachstellen allein.
Cloud-migration führte auch zu einem Anstieg der Angriffe wie server-side request forgery (SSRF). “Die Angreifer liefern kann oder ändern einer URL, die code auf dem server ausgeführt wird, Lesen oder senden von Daten zu, und durch eine sorgfältige Auswahl der URLs, kann der Angreifer in der Lage sein zu Lesen, server-Konfigurationen, wie AWS-Metadaten, die Verbindung zu internen Diensten, wie http-fähige Datenbanken oder führen Sie nach der die Anträge zur internen Dienstleistungen, die nicht dafür vorgesehen sind, ausgesetzt werden,” HackerOne sagte.
Derzeit SSRF macht nur 5,9 Prozent der top-bugs berichtet. Dennoch, so das Unternehmen, diese server-side-exploits sind Trend nach oben, da mehr und mehr Unternehmen erkennen, dass Wohnungen in der cloud.
Weitere top-Prämien beinhalten eine Reihe von code-injection-Angriffe oder Fehlkonfigurationen, die es ermöglichen, unsachgemäße Zugang zu Systemen, die sollten gesperrt werden. Die Unternehmen bezahlt haben mehr als $1,5 Millionen, die allein zu Adresse, unsachgemäße access control.
“Unternehmen, die mehr zahlen für die Prämien sind auf jeden Fall attraktiver für Hacker besonders attraktiv für top-Hacker,” Han sagte. “Aber wir wissen, dass die Prämien bezahlt sind nicht die einzige motivation. Hacker wie zu hacken Firmen, die Sie gerne verwenden, oder die sich in Ihrem Land.” In anderen Worten, auch wenn ein Unternehmen mehr Geld zu zahlen, Hacker, Fehler zu finden, es bedeutet nicht unbedingt, dass Sie mehr Sicherheit.
“Ein weiterer Faktor ist, wie schnell ein Unternehmen verändert”, sagte Sie. “Wenn ein Unternehmen entwickelt sich sehr schnell und expandiert und wächst, auch wenn Sie zahlen eine Menge Prämien, wenn Sie ändern Ihre code-Basis, eine Menge, dann bedeutet das, dass Sie nicht notwendig als sicher.”
Laut einem Artikel in diesem Jahr in TechRepublic, rund 300.000 Hacker sind derzeit angemeldet mit HackerOne; obwohl nur 1-in-10 haben angeblich behauptet, ein Kopfgeld. Die besten von Ihnen, eine Gruppe von etwa 100 Hacker, haben es verdient, über $100.000. Nur ein paar elite-Hacker erreicht haben, den höchsten bezahlten Ränge des Programms, Belohnungen erntet in der Nähe, oder mehr, 1 million Dollar.
Sehen Sie sich eine vollständige Aufschlüsselung der HackerOne ist “am meisten wirkungsvollen und belohnt” Sicherheitsanfälligkeit Typen hier.
Teilen Sie Diese Geschichte