Hacktrophy – prvý slovenský bug bounty projekt

Hacktrophy – prvý slovenský bug bounty projekt

Kybernetická bezpečnosť je na Slovensku stále do veľkej miery ignorovaná oblasť. Jedným z hlavných dôvodov sú financie, ktoré sa najmä u menších a stredných firiem pre túto oblasť ťažšie hľadajú. Existujú však aj iné možnosti ako bezpečnosť svojich systémov otestovať. Za projektom Hacktrophy stojí niekoľko ľudí, z už etablovaných slovenských spoločnosti Nethemba, Citadelo a ESET. Tento cieľavedomý projekt nám pri rozhovore bližšie predstavil Hacktrophy CEO, Roman Jazudek.

Napriek tomu, že v zahraničí sa už podobné projekty objavili, v našom regióne je takýto koncept novinkou. Viete nám v skratke predstaviť Hacktrophy projekt?

Hacktrophy je prvý bug bounty program v strednej Európe. „Bug bunty program“ predstavuje v anglosaskom svete už v podstate štandard zabezpečovania IT bezpečnosti online projektov, ktoré narábajú s citlivými údajmi. Môžeme si ho predstaviť ako „trhovisko“ s etickými hackermi, ktorých odborné znalosti využívajú firmy na zlepšovanie zabezpečenia svojich webov či aplikácií. Princíp je jednoduchý – firma sa v Hacktrophy zaregistruje, vytvorí zadanie pre etických hackerov, teda čo a ako sa má testovať, a následne sa hackeri pokúšajú nájsť bezpečnostné chyby v kóde aplikácie v zmysle zadania. Ak nejakú dieru nájdu, nahlásia ju firme, tá si ju opraví a vyplatí hackerovi zaslúženú odmenu. Hacktrophy je vhodné najmä pre tie firmy, ktoré podnikajú online, narábajú s citlivými údajmi (osobné, platobné, účtovné…) a preto chcú minimalizovať riziko hacknutia zo strany zlých, tzv. black-hat hackerov. Ide napríklad o vývojárske firmy, CRMká, platobné brány, e-shopy či cloudy a stávkové portály.

Keď sa povie slovo hacker, ľudia si zvyčajne predstavia niekoho, koho cieľom je skôr uškodiť ako pomôcť. Kto sa môže do Vášho projektu zapojiť?

Pôvodný význam slova hacker bol neutrálny. Išlo o technicky zdatných ľudí, ktorí dokázali odhaľovať slabiny nejakého systému. Postupom času tento pojem získal negatívny nádych, i keď množstvo hackerov na celom svete nelegálne aktivity nevykonáva. Aj preto sa začal pre týchto dobrých hackerov používať pojem „etický hacker“. Ide o ľudí, ktorí využívajú svoje znalosti na zlepšovanie bezpečnosti online projektov, nie na kriminálne či politické činy. Sú to často mladí ľudia, ktorí sa chcú odborne zlepšovať a za svoje schopnosti získavať normálnu odmenu. V Hacktrophy sa snažíme v spolupráci s firmami vytvoriť priestor, kde sa budú môcť realizovať.

Podliehajú títo etickí hackeri nejakej kontrole?

Pokiaľ ide o kontrolu týchto ľudí v Hacktrophy – ich detailné preverovanie či deanonymizácia by bola kontraproduktívna, keďže by obmedzila prístup tých najlepších. Podľa štatistík takmer polovica svetového trafficu webov je generovaná automatizovanými skenmi a botmi. Časť z nich používajú aj zlí hackeri práve na vyhľadávanie webov, ktoré obsahujú známe bezpečnostné zraniteľnosti. Pritom až 86 % webov obsahuje najmenej jednu kritickú bezpečnostnú dieru, cez ktorú viete ovládnuť web. Z toho potom logicky vyplýva, že ak váš online produkt chce niekto hacknúť a zneužiť vaše dáta, nepotrebuje na to Hacktrophy. Práve naopak – zlý hacker sa radšej vyhne aplikácii, ktorá sa stará o svoju bezpečnosť, keď má k dispozícii tisícky nezabezpečených. Kľúčové je si uvedomiť, že bug bounty programy neobsahujú žiadne citlivé informácie a že sa testuje len to, čo už je dávno verejné. To samozrejme nevylučuje preverovanie bezpečnosti aj u neverejných či testovacích aplikácií, na čo bude slúžiť ďalšia služba, ktorú pripravujeme. Samozrejme istá miera overovania v rámci registrácie zo strany Hacktrophy prebieha.

White-hat hacker nepatrí medzi najčastejšie povolania, koľko je v našom regióne takýchto ľudí? Čo je úlohou hackera, ktorý sa do projektu zapojí?

Určite ide o niekoľko stovák ľudí, ale presný počet etických hackerov je ťažké odhadnúť. Doteraz u nás neexistovala podobná platforma ako Hacktrophy, cez ktorú by bolo možné získať presnejšiu predstavu o tejto komunite. Navyše je otázka, kto je vlastne hacker. Študent technologickej VŠ? Bežný vývojár? Špecialista s certifikátom? Absolvent hackerského online kurzu alebo OWASP akadémie? (Open Web Application Security Project pozn. redakcie) V princípe je ale skvelé, že dnes sa už techniky etického hackingu môže naučiť každý, kto má prístup k internetu a ovláda programovanie. A v prípade, ak je šikovný, bude si môcť legálne zarobiť cez našu službu. K dnešku máme takýchto ľudí u nás zaregistrovaných viac ako 150 z
celého sveta.

Aké sú kvalitatívne požiadavky na testerov? Vyžaduje sa nejaké špeciálne vzdelanie?

V rámci beta verzie Hacktrophy nepreverujeme detailne vzdelanie či skúsenosti etických hackerov, ktorí sa u nás zaregistrovali. Pracujeme ale na ratingovom systéme, v rámci ktorého budú môcť hackeri získavať body za dodané hlásenia o bezpečnostných dierach aj za zdokladované vzdelanie. Výsledkom bude pravidelne aktualizovaný rebríček hackerov, z ktorých si budú môcť firmy vyberať špecialistov do svojich privátnych bug bounty programov. V týchto privátnych programoch už potom bude prebiehať aj detailnejšie preverovanie identity.

V akej výške sa pohybujú odmeny pre testerov za objavenie a zdokumentovanie bezpečnostnej diery?

Výhodou Hacktrophy oproti doterajším formám testovania bezpečnosti, napr. penetračným testom, je väčšia cenová flexibilita a v priemere aj nižšia cenová hladina. Pri vytváraní bug bounty projektu firme samozrejme poradíme, ale v princípe si firma môže sama nastaviť, aké odmeny je ochotná za validné hlásenia o bezpečnostných dierach vyplácať a aký je jej maximálny mesačný limit. Základné odporúčané odmeny sa hýbu od 75 eur za nízko rizikové zraniteľnosti až po niekoľko sto až tisíc eurové odmeny za kritické bezpečnostné diery. Doteraz najvyššia vyplatená odmena bola 400 eur. Pri nastavovaní odmien je samozrejme rozdiel, či ste banka alebo začínajúci startup. Každý segment má inú cenovú hladinu.

Ponúkate pomoc s opravou nájdených zraniteľností?

Pokiaľ ide o pomoc zo strany Hacktrophy – ponúkame PREMIUM program, v rámci ktorého pridelíme firme moderátora-špecialistu, ktorý jej pomôže jednak vytvoriť projekt a nastaviť odmeny, ako aj vyhodnocovať dodané hlásenia od hackerov. Oprava nájdených dier je už ale na samotnom zákazníkovi.

IT bezpečnosť má na Slovensku isté zázemie, no mnoho spoločností túto oblasť stále ignoruje. Ako vnímate Vy bezpečnostnú situáciu na Slovensku? Majú Slováci o takéto služby záujem?

Odpoviem 3 číslami z nášho minuloročného prieskumu na vzorke 75 slovenských a českých firiem, podnikajúcich v online prostredí. Až 89 % z nich bolo úplne či pomerne spokojných so stavom ich firemnej IT bezpečnosti. Pritom len 52 % z nich preveruje aspoň nejakou formou zabezpečenie svojich aplikácií či webov a až 16 % z nich uviedlo, že už boli v minulosti hacknutí. Myslím si, že firmy u nás stále podceňujú dôležitosť online bezpečnosti a ochrany citlivých dát a je najvyšší čas s tým niečo začať robiť. Na jednej strane chápem, že IT bezpečnosť niečo stojí a nie každá firma si môže dovoliť vyčleniť na IT bezpečnosť odporúčaných 5 % z budgetu určeného na vývoj aplikácie. Na strane druhej finančné škody spôsobené kyberútokmi a poškodenie reputácie medzi zákazníkmi tieto vstupné náklady často významne presahujú. Hacktrophy pritom prináša riešenie, ako zlepšiť svoju bezpečnosť aj pre segment stredne veľkých firiem.

Myslíte si, že nový kybernetický zákon podnieti ľudí a spoločnosti aby viac dbali na svoju bezpečnosť?

Myslím si, že ľudom samým – ako zákazníkom či klientom, ktorí online firmám dávajú všanc citlivé údaje – by malo záležať na lepšej bezpečnosti. Bohužiaľ sa tak ale často nedeje, osobitne v stredoeurópskom prostredí. Nie som zástanca prílišných štátnych regulácií, na strane druhej istý tlak a najmä komunikácia o tejto téme by mohli prospieť. Z toho, čo zatiaľ o kybernetickom zákone či slovenskej implementácii GDPR vieme podľa mňa vyplýva, že sa preceňuje úloha aj administratívne možnosti štátu v tejto oblasti. Som zvedavý ale na finálnu verziu.

(GDPR -Všeobecné nariadenie o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov prijaté EP a Radou Európy)

Aké sú Vaše plány do budúcna? Za projektom stoja silné slovenské spoločnosti, existuje ambícia rozšíriť platformu ďalej do susedných krajín?

Hacktrophy je len na začiatku. V týchto týždňoch sa snažíme predstavovať slovenským a českým firmám našu novinku, získať prvých zákazníkov a vyladiť beta verziu. Vzhľadom na to, že princíp bug bounty programov je v našom prostredí skoro neznámy, zakladateľom Hacktrophy je jasné, že jeho presadenie bude vyžadovať istý čas. Expanzia do ďalších krajín EÚ je ale samozrejme v pláne – i keď už teraz nie je problém vytvoriť bug bounty projekt u nás aj pre firmu mimo SR či ČR.

Ďakujem Vám, že ste prijali naše pozvanie na rozhovor a pevne verím, že sa aj Vás bug bounty program prispeje k zlepšeniu súčasného stavu kybernetickej bezpečnosti na Slovensku.

(MK)