Zatrudnienie etycznych hakerów do testowania technologii wykorzystywanych w Twoim startupie pod kątem ukrytych podatności jest kluczowe dla zapewnienia solidnego poziomu bezpieczeństwa. Samo wdrożenie wielu środków ochrony nie wystarczy. Etyczni hakerzy, znani również jako hakerzy działający zgodnie z zasadami etyki, naśladują zachowania rzeczywistych cyberprzestępców i poszukują słabych punktów lub luk w zabezpieczeniach systemów, aby je wykryć i zgłosić. Ich analiza może obejmować sieci, systemy, sprzęt, infrastrukturę IT lub całą organizację. Przykładowo, mogą przeprowadzać testy penetracyjne sieci, identyfikując podatności, które mógłby wykorzystać potencjalny napastnik. Głównym celem pracy etycznego hakera jest pomoc w zabezpieczeniu startupu, zanim rzeczywiści atakujący wykorzystają jego słabe punkty.

Czym jest hakowanie?

Hakowanie to zbiór technicznych metod, taktyk i technik mających na celu kompromitację sieci oraz urządzeń końcowych, takich jak komputery, laptopy, tablety czy smartfony. Jednak hakowanie może również polegać na wykorzystywaniu manipulacji psychologicznej do nakłonienia ofiary do kliknięcia w link phishingowy, co jest znane jako inżynieria społeczna. Osoba dokonująca włamania to haker.

Mentalność hakera

W wywiadzie z Phillipem Wylie’m, testerem penetracyjnym, edukatorem i autorem współpracującym z organizacją Hacking Is NOT a Crime, poruszono temat pochodzenia terminu „haker”. Wylie powiedział:

„Pierwotne znaczenie słowa ‘haker’ odnosiło się do programistów, wynalazców i ludzi, którzy potrafili modyfikować urządzenia, usprawniając ich działanie. Osoby takie jak Steve Wozniak byli pierwszymi hakerami. Mentalność hakera oznacza zdolność do rozbierania rzeczy na części i ulepszania ich. Istnieją nawet hackathony, które nie mają nic wspólnego z programowaniem.”

Alyssa Miller, CISO z niemal 20-letnim doświadczeniem w branży cyberbezpieczeństwa, dodała:

„Hakerzy to naprawdę kreatywni ludzie, którzy lubią analizować, jak działają różne technologie, a następnie je udoskonalać. Kieruje nimi pasja i chęć rozwoju technologii.”

Innymi słowy, etyczni hakerzy wykorzystują swoją kreatywność i umiejętności do testowania zabezpieczeń w startupach, identyfikowania ich słabych punktów i wzmacniania ochrony.

Warto również podkreślić, że ważnym zagadnieniem dla społeczności cyberbezpieczeństwa jest podnoszenie świadomości na temat pejoratywnego użycia terminów „haker” i „hakowanie” w mediach i kulturze popularnej. Hakerzy często są przedstawiani jako złoczyńcy, mimo że wielu z nich działa w pełni legalnie i zgodnie z zasadami etyki. Należy pamiętać, że „haker” nie jest synonimem cyberprzestępcy.

Terminy „black hat” i „white hat” są już przestarzałe

Krótko mówiąc, hakerzy określani jako black hat, white hat i gray hat różnią się między sobą. Black hat hacker to termin, który kiedyś odnosił się do hakera podejmującego działania o złośliwym charakterze. White hat hacker oznaczał hakera działającego w dobrej wierze, natomiast gray hat hacker znajdował się pomiędzy tymi kategoriami – czasami naruszając przepisy prawa i standardy etyczne, ale bez złych intencji przypisywanych black hat hackerom.

Obecnie terminy black hat i white hat uznawane są za przestarzałe i odradza się ich stosowanie, ponieważ zostały skrytykowane jako nacechowane rasowo, zwłaszcza przez społeczności osób kolorowych oraz ich sojuszników. Krytyka ta nasiliła się po kontrowersjach związanych z używaniem określeń „master” i „slave” w repozytoriach GitHuba w 2020 roku. W odpowiedzi Microsoft oraz inne organizacje zaczęły poszukiwać alternatywnych terminów. Ponadto krytyce poddano również pojęcia blacklisting i whitelisting, uznając je za nieodpowiednie.

Poniżej przedstawiono alternatywy dla terminów black hat i white hat.

Zamiast „Black Hat”:

• Atakujący
• Złośliwy przeciwnik
• Cyberprzestępca
• Nieetyczny haker

Zamiast „White Hat”:

• Badacz bezpieczeństwa
• Profesjonalny haker
• Ekspert ds. prywatności
• Sygnalista
• Haktywista
• Etyczny haker

Lista ta została opracowana m.in. przez organizację non-profit Hacking Is NOT a Crime.

Kim jest etyczny haker?

Etyczny haker to ekspert ds. bezpieczeństwa, który działa jak złośliwy intruz, aby przeniknąć do sieci, systemów lub infrastruktury IT w celu wykrycia i ujawnienia ich podatności właścicielom systemu. Identyfikuje luki w zabezpieczeniach wynikające z nieprawidłowych konfiguracji, znanych i nieznanych podatności sprzętowych lub programowych, a także słabości operacyjnych w procesach i środkach technicznych.

Etyczni hakerzy wspierają startupy oraz organizacje na wiele sposobów:

• Wyszukują podatności i pomagają je eliminować,
• Pokazują taktyki i techniki stosowane przez cyberprzestępców oraz aktorów zagrożeń,
• Pomagają przygotować się na cyberatak.

Etyczni hakerzy mogą być zatrudnieni bezpośrednio przez startup lub organizację albo działać jako niezależni specjaliści, biorąc udział w programach Bug Bounty lub VDP (Vulnerability Disclosure Program).

Etyczne hakowanie a testy penetracyjne

Etyczne hakowanie i testy penetracyjne są do siebie bardzo zbliżone – różnica polega na tym, że testy penetracyjne koncentrują się na konkretnych obszarach sieci lub aplikacji internetowych, podczas gdy etyczne hakowanie obejmuje całościowe podejście do bezpieczeństwa i zawiera w sobie również testy penetracyjne.

Testy penetracyjne

Test penetracyjny (pen test) to autoryzowany, symulowany atak przeprowadzany na sieć, aplikację internetową, urządzenie mobilne, sprzęt lub inny komponent w celu oceny jego zabezpieczeń. Testerzy penetracyjni wykorzystują te same narzędzia, techniki i metody co cyberprzestępcy, aby zidentyfikować luki i przedstawić ich potencjalne skutki biznesowe. Popularne narzędzia do testów penetracyjnych to m.in. Nmap, Metasploit, Hydra i BurpSuite. Przy odpowiednim zakresie testy mogą obejmować dowolny aspekt systemu.

Najczęściej przeprowadzane rodzaje testów penetracyjnych to:

• Testy penetracyjne sieci
• Testy penetracyjne aplikacji webowych
• Testy penetracyjne aplikacji mobilnych

Testy penetracyjne sieci

Testy penetracyjne sieci koncentrują się na konkretnej infrastrukturze sieciowej, analizując jej projekt, implementację oraz sposób zarządzania wszystkimi urządzeniami i usługami wchodzącymi w jej skład.

Testy penetracyjne aplikacji webowych

Testy penetracyjne aplikacji internetowych oceniają bezpieczeństwo kodu oraz wykorzystanie bibliotek i oprogramowania, na którym działa aplikacja. Testerzy poszukują podatności, takich jak:

• Luki typu Injection (np. SQL Injection, XSS),
• Błędy w uwierzytelnianiu,
• Błędy w autoryzacji,
• Niewłaściwa obsługa błędów.

W jednym z naszych poprzednich artykułów omówiliśmy zagrożenia dla bezpieczeństwa aplikacji webowych. Więcej o ich zabezpieczaniu możesz przeczytać tutaj.

Korzyści z testów penetracyjnych

Testy penetracyjne pozwalają wykryć ukryte luki w zabezpieczeniach sieci i aplikacji internetowych, zanim zrobią to cyberprzestępcy. Dzięki nim można m.in. wykryć ataki typu zero-day, które w przeciwnym razie mogłyby pozostać niezauważone. W startupach testy penetracyjne są zwykle przeprowadzane przez zewnętrzne firmy, co pozwala zachować wysoki poziom poufności wrażliwych informacji.

Testy penetracyjne mogą pomóc Twojemu startupowi w:

✅ Identyfikacji słabych punktów w systemach,
✅ Zapobieganiu incydentom bezpieczeństwa, takim jak wycieki danych,
✅ Oceny skuteczności zastosowanych zabezpieczeń,
✅ Spełnieniu wymagań regulacyjnych dotyczących ochrony danych i bezpieczeństwa (np. PCI DSS, HIPAA, GDPR),
✅ Dostarczeniu zarządowi wartościowych danych o stanie bezpieczeństwa i priorytetach budżetowych.

Jeśli potrzebujesz usług testów penetracyjnych, odwiedź stronę Zigrin Security i dowiedz się więcej o naszej ofercie.

Polityka odpowiedzialnego ujawniania podatności (VDP)

Odpowiedzialne ujawnianie podatności to proces, który umożliwia etycznym hakerom oraz badaczom bezpieczeństwa bezpieczne zgłaszanie wykrytych podatności w startupie lub organizacji. Program ujawniania podatności (Vulnerability Disclosure Program, VDP) to zbiór wytycznych lub ram postępowania opracowanych przez organizację w celu określenia zasad dokumentowania i zgłaszania znalezionych podatności. VDP zazwyczaj zawiera zakres programu, klauzulę ochrony prawnej (safe harbor clause) oraz metody usuwania podatności i jest najczęściej dostępny na stronie internetowej organizacji. Programy VDP obejmują zwykle wszystkie publicznie dostępne zasoby wystawione na Internet, choć ich zakres może być ograniczony ze względu na zasoby organizacji.

Poniżej znajdują się szczegóły dotyczące elementów składowych VDP:

• Wstęp, który przedstawia organizację oraz jej zaangażowanie w bezpieczeństwo.
• Sekcja ochrony prawnej (safe harbor clause), w której organizacja jednoznacznie deklaruje, że nie podejmie działań prawnych wobec badaczy bezpieczeństwa działających w dobrej wierze i zgodnie z zasadami polityki.
• Dodatkowe wytyczne, określające zasady postępowania. Na przykład wiele polityk ujawniania podatności zabrania wykorzystywania odkrytych podatności do dalszego naruszania danych, uzyskiwania trwałego dostępu do systemu lub poruszania się po innych częściach infrastruktury organizacji.
• Zakres programu, który jasno określa, jakie systemy, produkty i podatności obejmuje polityka, a także wyklucza nieautoryzowane metody testowania.
• Procedura zgłaszania podatności, opisująca mechanizmy, które etyczni hakerzy powinni stosować, aby prawidłowo raportować podatności. Sekcja ta zawiera instrukcje dotyczące sposobu przesyłania zgłoszeń oraz zakresu informacji wymaganych przez organizację do analizy i naprawy podatności.
• Metoda usuwania podatności, określająca, czego badacz bezpieczeństwa może oczekiwać od organizacji w zakresie procesu naprawczego. Najczęściej obejmuje to terminy poszczególnych etapów procesu ujawniania podatności oraz ewentualne aktualizacje informujące badacza o postępach.
• Zasady uznania zasług, opisujące sposób publicznego uznania wkładu badacza bezpieczeństwa, jeśli wyrazi on taką chęć.
• Możliwość anonimowego zgłaszania podatności, jeśli organizacja przewiduje taką opcję.

Badacze bezpieczeństwa muszą dbać o odpowiedzialne ujawnianie podatności, aby uniknąć niepożądanych konsekwencji prawnych, które mogą prowadzić nawet do kar więzienia. Przepisy prawa dotyczące ujawniania podatności bywają skomplikowane i nie zawsze jednoznaczne, przez co badacze mogą mieć trudności ze zrozumieniem, jakie podatności mogą zgłaszać, a jakie nie. W przypadku braku VDP osoby działające w dobrej wierze mogą nie mieć żadnej oficjalnej ścieżki do zgłoszenia wykrytych podatności, co stanowi poważny problem dla organizacji – niezgłoszone podatności pozostają niewykryte i nienaprawione, tworząc tykającą bombę, którą cyberprzestępcy mogą w każdej chwili wykorzystać.

Wdrożenie polityki odpowiedzialnego ujawniania podatności (VDP) pomaga eliminować tego typu niejasności i jest kluczowe dla każdego startupu oraz organizacji – chroni je przed atakami oraz przed przedwczesnym ujawnieniem podatności, które mogłoby zagrozić ich bezpieczeństwu.

Rozpoczęcie pracy z odpowiedzialnym ujawnianiem podatności (responsible disclosure) wymaga jedynie stworzenia strony poświęconej bezpieczeństwu, która powinna zawierać:

• Informacje o tym, które części lub sekcje witryny objęte są zakresem testów.
• Rodzaje błędów i podatności, które kwalifikują się do zgłoszenia.
• Dedykowany adres e-mail do raportowania problemów związanych z bezpieczeństwem (często security@example.com).

Przykład polityki ujawniania podatności (VDP) można znaleźć na stronie Polityka zgłaszania podatności Zigrin Security.

Wskazówki dotyczące tworzenia VDP

Jeśli potrzebujesz więcej informacji na temat tworzenia polityki VDP, BugCrowd przygotował Ultimate Guide to Vulnerability Disclosure dostępny tutaj. Możesz również skorzystać z następujących narzędzi, aby rozpocząć:

• BugCrowd’s open-source responsible disclosure policy – umożliwia każdemu zespołowi w startupie lub organizacji łatwe stworzenie polityki VDP za darmo. Jest zaprojektowana jako przewodnik po najlepszych praktykach, pomagający w skutecznym prowadzeniu programu ujawniania podatności.
• NCSC’s Vulnerability Disclosure Toolkit – zawiera kluczowe elementy niezbędne do stworzenia własnego procesu ujawniania podatności.
• Disclose.io’s policymaker – „wszystko w jednym” generator polityk dla każdego, kto chce uruchomić program ujawniania podatności (VDP) po raz pierwszy, zaktualizować istniejącą politykę lub dodać nowe funkcje do już działającego programu.

Pełne ujawnienie (Full Disclosure)

Posiadanie polityki VDP jest kluczowe, aby jasno określić, co badacz bezpieczeństwa może lub nie może zrobić, oraz aby chronić startup lub organizację. Jeśli badacz bezpieczeństwa odkryje podatność w firmie, która nie ma wdrożonej polityki VDP, ma do wyboru kilka opcji:

• Zignorowanie odkrycia, aby nie tracić czasu na znalezienie sposobu kontaktu z firmą. W takim przypadku podatność pozostaje nierozwiązana, dopóki ktoś inny jej nie wykryje.
• Próba skontaktowania się z zespołem ds. bezpieczeństwa w firmie i ujawnienie podatności. Może to być jednak trudne ze względu na brak odpowiednich kanałów kontaktu lub niewystarczającą wiedzę zespołu wsparcia technicznego na temat bezpieczeństwa.
• Publiczne ujawnienie szczegółów podatności – jest to podejście znane jako full disclosure i często traktowane jako ostateczny sposób zwrócenia uwagi firmy na problem.

Badacz bezpieczeństwa może zdecydować się na pełne ujawnienie podatności, jeśli:

• Nie udało się skontaktować z firmą.
• Raport o podatności został zignorowany (brak odpowiedzi lub nieprzydatna odpowiedź).
• Podatność nie została naprawiona.
• Badacz uznał, że poinformowanie opinii publicznej skłoni firmę do podjęcia działań.
• Obawia się konsekwencji prawnych wynikających z próby zgłoszenia podatności w inny sposób.

Pięć głównych korzyści z wdrożenia VDP

Posiadanie programu ujawniania podatności (Vulnerability Disclosure Program, VDP) to sytuacja korzystna dla obu stron – zarówno dla startupów i organizacji, jak i dla badaczy bezpieczeństwa. Oto pięć kluczowych powodów:

1. Wygoda dla badaczy bezpieczeństwa

• Program ujawniania podatności ułatwia badaczom bezpieczeństwa zgłaszanie luk bezpośrednio do startupu lub organizacji, ponieważ dostarcza jasne wytyczne dotyczące procesu zgłaszania. Określa zakres działań, pomagając badaczom zrozumieć, co mogą, a czego nie powinni robić, eliminując tym samym niejasności i potencjalne obawy.

2. Ochrona firm przed wykorzystaniem podatności

• Program ujawniania podatności zwiększa poziom cyberbezpieczeństwa startupów i organizacji, ponieważ zachęca badaczy bezpieczeństwa do zgłaszania luk zanim odkryją je cyberprzestępcy. Dzięki temu VDP daje firmom możliwość jak najszybszego usunięcia wykrytych podatności.

3. Dowód dojrzałości w zakresie bezpieczeństwa

• Program ujawniania podatności pokazuje, że firma poważnie podchodzi do ochrony swoich zasobów cyfrowych i reagowania na znane zagrożenia. Dodatkowo buduje zaufanie i pewność wśród klientów oraz partnerów biznesowych.

4. Sformalizowana komunikacja w zakresie bezpieczeństwa

• Wdrożenie programu ujawniania podatności zapewnia odpowiednie ramy do nawiązywania i utrzymywania pozytywnych relacji ze społecznością badaczy bezpieczeństwa. Ułatwia i promuje współpracę pomiędzy wewnętrznymi i zewnętrznymi interesariuszami w zakresie zarządzania podatnościami.

5. Spełnienie wymagań zgodności

• Program VDP dostosowuje politykę cyberbezpieczeństwa firmy do najlepszych praktyk określonych przez instytucje takie jak rząd USA, NIST, DOJ i inne organizacje regulacyjne.

Wytyczne dotyczące ujawniania podatności dla badaczy bezpieczeństwa

Dla badaczy bezpieczeństwa niezwykle istotne jest posiadanie jasnych wytycznych dotyczących zgłaszania podatności, zwłaszcza że wielu z nich obawia się konsekwencji prawnych lub nie ma pewności, jak odpowiedzialnie ujawniać odkryte luki. Jeśli organizacja nie posiada wdrożonego VDP, badacz może spróbować skontaktować się z nią i poprosić o podpisanie umowy safe-harbor przed ujawnieniem podatności. Jednak taki proces wydłuża czas reakcji i wymaga dodatkowego wysiłku ze strony badacza, co w wielu przypadkach prowadzi do tego, że luka pozostaje niezgłoszona i nieznana firmie.

Umowa Safe-Harbor

Umowa safe-harbor pozwala zgłosić podatność bez ryzyka podjęcia działań prawnych przeciwko badaczowi. W jej ramach badacz może wstrzymać się z ujawnieniem podatności do momentu, aż firma podpisze umowę zapewniającą mu ochronę prawną. Nie wszystkie firmy zgadzają się jednak na zawarcie takiej umowy. W sytuacji, gdy organizacja odmawia jej podpisania, badacze bezpieczeństwa są zazwyczaj odradzani od ujawniania wykrytych podatności.

„Dobrym pomysłem jest skonsultowanie umowy safe-harbor z prawnikiem, jeśli to możliwe, aby upewnić się, że nie zawiera luk umożliwiających organizacji podjęcie działań przeciwko badaczowi.”

— Alyssa Miller, CISO i autorka

Innym bezpiecznym sposobem zgłaszania podatności jest sprawdzenie, czy organizacja posiada solidny program Bug Bounty, czy ma jasno określone procedury raportowania oraz jaka była jej dotychczasowa reakcja na zgłoszenia i powiadomienia o podatnościach.

Programy Bug Bounty

Bug bounty to finansowa nagroda oferowana etycznym hakerom za pomyślne zidentyfikowanie podatności lub błędów w zabezpieczeniach aplikacji internetowych i sieci firmowych. Programy Bug Bounty pozwalają organizacjom na współpracę ze społecznością hakerską w celu poprawy ich poziomu bezpieczeństwa.

Firmy mogą publikować informacje o swoich programach Bug Bounty na własnych stronach internetowych lub na dedykowanych platformach, do których etyczni hakerzy mają publiczny dostęp. Niektórzy hakerzy traktują poszukiwanie błędów jako okazjonalne zajęcie, inni natomiast zarabiają na tym pełnoetatowe wynagrodzenie.

Hakerzy uczestniczący w programach Bug Bounty mają prawo testować zabezpieczenia firm, które biorą w nich udział, bez obawy o konsekwencje prawne. Programy te często stanowią uzupełnienie tradycyjnych testów penetracyjnych i pozwalają na ciągłe monitorowanie bezpieczeństwa aplikacji na różnych etapach ich cyklu życia.

Popularne platformy Bug Bounty:

• HackerOne
• BugCrowd
• Intigriti
• Synack
• SafeHats

Niektóre firmy, takie jak Microsoft, Apple, czy Facebook, publikują informacje o swoich programach Bug Bounty bezpośrednio na swoich stronach internetowych.

Podsumowanie

Rekrutowanie etycznych hakerów, którzy identyfikują ukryte podatności zanim zrobią to cyberprzestępcy, jest niezwykle cenne dla poprawy bezpieczeństwa startupów. Pomagają oni wzmocnić poziom ochrony, ponieważ same środki bezpieczeństwa często nie są wystarczające.

Etyczni hakerzy, testerzy penetracyjni oraz badacze bezpieczeństwa odgrywają kluczową rolę w ochronie firm. Dodatkowo wdrożenie polityki ujawniania podatności (VDP) pozwala badaczom na bezpieczne zgłaszanie luk oraz minimalizuje ryzyko działań prawnych wobec nich.

Organizacje uczestniczące w programach Bug Bounty mogą znacząco poprawić swój poziom cyberbezpieczeństwa, ponieważ zapewniają badaczom bezpieczeństwa możliwość zgłaszania podatności w zamian za nagrody finansowe.

Etyczni hakerzy to niezwykle cenni sojusznicy każdej firmy i warto ich odpowiednio wynagradzać.

Jeśli chcesz zatrudnić etycznych hakerów do przeprowadzenia testów penetracyjnych Twojego produktu lub sieci, skontaktuj się z Zigrin.

Źródła:

1. https://krebsonsecurity.com/2021/06/how-does-one-get-hired-by-a-top-cybercrime-gang
2. https://www.trendmicro.com/vinfo/us/security/definition/cybercriminals
3. https://techstartups.com/2022/01/28/55-year-old-latvian-woman-mother-two-member-trickbot-cybercrime-gang-responsible-infecting-millions-computers-around-world
4. https://www.techtarget.com/searchsecurity/definition/ethical-hacker
5. https://www.synopsys.com/glossary/what-is-penetration-testing.html
6. https://www.secjuice.com/hacking-is-not-a-crime-part-one
7. https://www.secjuice.com/hacking-is-not-a-crime-part-2-how-security-researchers-can-responsibly-disclose-vulnerabilities/
8. https://www.bugcrowd.com/resources/guides/ultimate-guide-to-vulnerability-disclosure
9. https://www.securitymetrics.com/blog/do-you-need-web-application-penetration-test
10. https://www.hackerone.com/vulnerability-management/what-are-bug-bounties-how-do-they-work-examples
11. https://www.bugcrowd.com/glossary/vulnerability-disclosure-program-vdp