Taggat med: BugBounty

Intervju med HackerOnes VD Mårten Mickos

Under mina många år i branschen är det få personer som har gett ett sådan gott intryck som Mårten Mickos. Mårten är från Finland, pratar flytande svenska och bor numera i San Francisco där han är VD för HackerOne.

Jag tog ett snack med Mårten och vad HackerOne pysslar med och hans jobb som VD där:

Vilka är de största fördelarna med att ha ett bugbounty-program för en organisation?

Det finns inget annat sätt att hitta de svåraste sårbarheterna. Testverktyg, code scanners och till och med intern personal följer order och hittar bara det de satts att söka. Men buggjägare är obundna och har närapå oändlig kreativitet. De hittar de kritiska buggarna – de som kriminella annars skulle exploatera. Till och med de organisationer som kan anställa hur mycket datasäkerhets- och test-personal som helst – Google, Amazon, USAs försvarsdepartement – kör sådana program. Förr var det ganska mycket jobb att drive ett bugbounty-program men i dag är det lätt tack vare företag som HackerOne. Man kan starta smått och utvidga an efter.

På vilket sätt kan företag såsom HackerOne hjälpa organisationer med dess cybersäkerhet?

HackerOne hjälper dem som utvecklar och driftsätter mjukvara. Nästan alla företag har i dag sin egen webbapplikation och kanske mobilapp. Mjukvaran uppdateras hela tiden, och till sin struktur är alla applikationer i dag byggda på kod som levererats av någon annan. Så hur man än gör så har systemen hål och sårbarheter, som man själv eller tredje part förorsakat. På något sätt måste man utsätta dessa applikationer för kontinuerligt testande så att hålen kan lappas. Annars lämnar man dörren öppen för dataintrång av kriminella eller främmande makt, vilket vore ansvarslöst. HackerOne kan sköta detta testande från början till slut för kunder stora som små. Till vår hjälp har vi världens bästa säkerhetsexperter som anmält sig som frivilliga på vår plattform. Dessa så kallade etiska hackare tävlar med varandra om vem som är bäst och får betalt enligt vad de hittar. En sann global meritokrati som producerar världens bästa datasäkerhet.

Vad är det som utmärker en person som är bra på att hitta brister och sårbarheter? (buggjägare)

Nyfikenhet. Det är så enkelt. Visst krävs det kreativitet, logiskt tänkande, datakunskap och goda sittmuskler också. Men det är nyfikenheten som driver dem. Samma som man ser med barn som skruvar i sär sina leksaker (och annat!) för att förstå hur de funkar.

hackerone

Är ett bugbounty-program något för alla organisationer? 

Bara för dem som vill undvika dataintrång.

Bäst passar bugbounty för organisationer som utvecklar och driftsätter mjukvara för sina kunder. Vanligen är det fråga om webbapplikationer, mobilappar och gränssnitt (API). Men vi har också kunder av många andra typer, t.ex. IoT-leverantörer. Riktigt små organisationer saknar ofta kapacitet att ta hand om datasäkerhet, så våra kunder har ofta tiotals utvecklare eller mer. Det är fråga om högteknologiföretag (som PayPal, Zoom och Slack), banker (som Goldman Sachs, CapitalOne), industriföretag (t.ex. General Motors, Caterpillar, Toyota), konsumentföretag (t.ex. Starbucks, Hyatt Hotels m.m.) och den offentliga sektorn (t.ex. försvarsdepartementen i USA, Storbritannien och Singapore).

Vilka är de vanligaste misstagen företag gör när de implementerar ett bugbounty-program?

Vi tar hand om det mesta för våra kunder så i dagens läge är det inte så många misstag som kan ske. Viktigast är kanske att kunden har en intern beslutsamhet att åtgärda sårbarheterna. Det är möjligt att vi hittar ganska många. Då måste kodarna vara beredda på att ta itu med buggarna. Först kanske de lite knotar, men fort inser de värdet av riktigt avancerade buggrapporter. För en utvecklare blir det en möjlighet att skärpa sina egna kunskaper samtidigt som applikationen blir säkrare.

Vad ser du för framtid inom området? Har ni några nya intressanta funktioner eller tjänster på gång?

Det här är ett område som blir bara större. Nu ser vi att USAs statsförvaltning börjar kräva sårbarhetsprogram av alla som levererar något till myndigheterna. Banker och försäkringsbolag kommer till oss allt oftare. Själva bygger vi ut tjänsterna. Vi kan nu gå in på insidan och revidera källkod också. På så sätt hittas sårbarheterna tidigare och smidigare. Vi bygger också ut vår förmåga att hitta svagheter i AI-applikationer. Det är en helt egen värld med ”prompt injection”, ”training data poisoning” och andra faror. Det finns många leverantörer i denna bransch. HackerOne är klart störst och vi har det bredaste utbudet.

Vad är det du gillar mest med ditt jobb som VD På HackerOne?

Det är nog att se de oerhört duktiga experterna som vi har i vårt nätverk. Några av de absolut bästa är bara 17 år gamla. Många har känt sig åsidosatta i samhället. Ingen har verkat behöva dem. Men när de får jaga buggar på HackerOnes kundprogram märker de att deras arbete behövs (och belönas). De sträcker på ryggen och blir stolta. De växer upp och mognar till ansvarskännande globala medborgare. Utan dem skulle vår digitala värld vara på väg i en ganska så otrevlig riktning. Men här har vi lösningen. Och det finns massvis med sådana etiska hackare. Vi har två miljoner i vårt nätverk. På sätt och vis är de som digitala scouter. De över upp sig i nyttiga aktiviteter och gör en god gärning varje dag. De är redo.

Tack Mårten! Och för den som vill jaga efter säkerhetsbuggar och eventuellt tjäna lite pengar kan registrera sig gratis på HackerOne.com.

Kommande kritisk sårbarhet i OpenSSL

OpenSSL-teamet har gått ut med förhandsinformation gällande en ny sårbarhet som uppdagats i kryptobiblioteket OpenSSL. Information och en ny version av OpenSSL-biblioteket kommer att släppas den 1:a November någon gång mellan klockan 13 och 17:00 UTC.

Den nya versionen har nummer 3.0.7 och åtgärden klassas som KRITISK. Och enligt OpenSSL-projektets policy så innebär KRITISK att det är en sårbarhet som enkelt kan utnyttjas via internet och kan ge möjlighet att läsa minne eller godtycklig exekvering av kod.

Det är oklart i dagsläget huruvida andra forkar av OpenSSL påverkas såsom LibreSSL och BoringSSL. Viktigt är också att OpenSSL 1.1.x inte är drabbad av denna sårbarhet.

Vi får hoppas att detta inte blir en ny Heartbleed. Men OpenSSL är en viktig del av otroligt många produkter, system osv så oavsett vad som händer på tisdag den 1:a november så kommer det att komma många uppdateringar till diverse system och produkter.

Bugbounties är en av flera metoder att öka säkerheten i opensource-mjukvaror och Google betalar ut pengar till den som hittar buggar i OpenSSL sedan 2013.

Uppdatering: Även om OpenSSL 1.x är den vanligare versionen där ute så finns OpenSSL 3.x på rätt många ställen, bl.a. så skeppar Red Hat Enterprise Linux 9.x och Ubuntu 22.04 med OpenSSL 3.x som är sårbar.

Uppdatering 2: Lista med mjukvara som är berörd av patchen: https://github.com/NCSC-NL/OpenSSL-2022/blob/main/software/README.md