Mis on veahaldusprogrammid ja miks peaksid ettevõtted neist hoolima?

shape
shape
shape
shape
shape
shape
shape
shape

Võib-olla olete neist juba kuulnud, kuid ei pruugi olla kindel, milles need täpselt seisnevad. Kuid veahaldusprogrammid on oluline ja tõhus osa küberturvalisusest, eriti ettevõtete jaoks. Mis on veahaldusprogramm? Kuidas see toetab küberturvalisust? Järgnevalt info, mida peaksite sellest teadma.

Esimese teadaoleva veahaldusprogrammi lõi 1983. aastal Hunter & Ready. Omal ajal pakkus programm igaühele, kes leidis mõne probleemi ja teatas sellest, tasuks Volkswagen Beetle’it. Aastaid hiljem leiutas Netscape’i tehnilise toe insener Jarrett Ridlinghafer termini “pearaha vigade eest”.

Pärast Netscape’i programmi “pearaha vigade eest” 1995. aastal kasvas see idee aastatega ja kontseptsiooni võttis omaks rohkem ettevõtteid. Tänapäeval peetakse seda tõhusaks viisiks tehnoloogiapõhiste toodete viimistlemiseks ja lünkade parandamiseks digitaalses ruumis.

Mõned kõige tähelepanuväärsemad veahaldusprogrammid

Facebook

Sotsiaalmeediahiiglasel on juba mõni aasta olnud veahaldusprogramm. Teil on veast teatamise eest õigus saada vähemalt 450 eurot, eeldusel, et programmi reegleid ei rikuta. Näiteks, kui teatate teenusetõkestuse rünnakutest või suhtlusrünnetest, ei saa te tasu. Programm laieneb Instagramile, WhatsAppile, Internet.org-ile, Oculusele, Onavole ja teistele Facebooki avatud lähtekoodiga projektidele.

Google

Google’i haavatavuste leidmise programm pakub väljamakset vähemalt 90 eurot, maksimaalselt 28 190 eurot. Kvalifitseeritavad haavatavused peaksid olema seotud mis tahes „kavandamis- või juurutamisprobleemidega, mis mõjutavad oluliselt kasutaja andmete konfidentsiaalsust või terviklikkust”. See hõlmab selliseid rünnakuid nagu XSS, saitideülene päringuvõltsimine, serveripoolsete koodide täitmise vead jne.

2013. aastal avas Google oma programmi, hõlmamaks valitud kõrge riskiga tasuta tarkvararakendusi ja kogusid. Umbes 4 aastat hiljem laiendas Google seda veelgi, et lisada ka Google Play poes saadaval olevad kolmanda osapoole rakendused.

Mozilla

Mozilla käivitas oma veahaldusprogrammi juba 2004. aastal. Praegu on mittetulundusühingul käigus kaks veahaldusprogrammi. Esimene programm, “Klientide veahaldusprogramm”, on mõeldud Firefoxi avalikult väljastatud versioonide haavatavustest teatamiseks. Teine on „Veebide ja teenuste veahaldusprogramm”. Siin kutsub organisatsioon turbeuurijaid üles teatama kriitilisi veebisaite mõjutavatest koodi kaugkäituse vigadest. Preemiad ulatuvad minimaalselt 90 eurost kuni maksimaalselt üle 9 000 euroni.

Netflix

Netflix ilmus veahalduse areenile üsna hiljuti. Ettevõte käivitas oma veahaldusprogrammi märtsis 2018. Tasu võib saada XSS-i, CSRF-i, SQL-i või muude sarnaste haavatavuste kohta käivate teadete eest. Muidugi ainult seni, kuni need teated puudutavad mõnda ettevõtte teenust. Väljamakse ulatub 180 eurost kuni maksimaalselt 180 000 euroni.

Microsoft

Juulis 2017 käivitas Microsoft Windowsi veahaldusprogrammi. See hõlmas Windows Insideri eelvaatega seotud veateateid. Muidugi, ettevõttel on ka mõned teised veahaldusprogrammid. Turbeuuringutega tegelevad teadlased, kes avastavad Hyper-V-s leevendusjuhtumitest möödahiilimise või kriitilise kaugkäituse juhtumeid, võivad oodata väljamakset suurusjärgus 225 000 eurot.

Pentagon

USA föderaalvalitsus avaldas oma esimese veahaldusprogrammi juba 2016. aastal. „Hack the Pentagon“ on mõeldud USA kaitseministeeriumi hallatavate üldkasutatavate veebisaitide turvaaukude tuvastamiseks ja lahendamiseks. Raamistik loodi koostöös HackerOne’iga.

Kolme aasta jooksul alates programmi loomisest on programm laienenud, et hõlmata veahaldusprogrammi „Hack the Army” kaudu ka teisi osakondi, näiteks USA sõjaväge. Väljamakse kõigub tavaliselt minimaalselt 90 eurost kuni maksimaalselt 13 500 euroni.

Valesti käsitsetud veahaldusprogrammid võivad ettevõtteid kahjustada

Nagu ilmneb, näevad kogu maailma ettevõtted veahaldusprogramme hea turbestrateegia vahendina. Kuid see ei tähenda, et neil ei oleks puudusi.

Võtame Khalil Shreateh’ juhtumi. 2013. aasta augustis avastas Khalil Facebookis haavatavuse. See haavatavus võimaldas kasutajatel postitada mis tahes kasutaja lehele, isegi neile, mis polnud sõprade loendis. Selline turvaauk võimaldaks petturitel sotsiaalvõrgustikus edukalt tegevust arendada. Khalil teatas veast. Kuid ta ei kvalifitseerunud Facebooki White Hat programmi alusel preemia saamisele. Juriidiliselt võib ettevõttel õigus olla. Kuid olukorda oleks saanud käsitleda teisiti. Eriti kui ettevõtete eesmärk on julgustada turbeuurijaid aitama neil turvaauke leida.

Mõnikord võivad halvasti juhitud veahaldusprogrammid ettevõtetele tagasilöögi anda. Nii juhtus see Yahoo-ga. 2013. aastal avastas Šveitsis asuv ettevõte High-Tech Bridge XSS-i haavatavused domeenides marketingsolutions.yahoo.com, ecom.yahoo.com ja adserver.yahoo.com. Nimetatud turvaaukudest teatamise puhul pakkus Yahoo Šveitsi ettevõttele iga haavatavuse kohta 12-eurose sooduskoodi Yahoo Company poes. Teisisõnu pakkus Yahoo T-särke.

Pärast avalikku pahameelt pakkus selgitust turvameeskonna Yahoo Paranoids direktor Ramses Martinez. Martinez postitas oma ajaveebis, et “hakkasin T-särke saatma isikliku tänuavaldusena. See ei olnud poliitika, lihtsalt leidsin, et oleks tore teha midagi enamat e-kirja saatmisest. Särgid ostsin üldse oma raha eest. Asi ei olnud rahas, vaid lihtsalt minu isiklikus žestis. Mingil hetkel märkisid mõned inimesed, et nad on minult T-särgi juba saanud, seega hakkasin ostma kinkekaarte.” Kuid ega Yahoo ei olegi oma tipptasemel turvalisuse poolest tuntud.

Halvasti juhitud veahaldusprogrammid võivad esineda ka ebapiisava reeglistiku vormis. 2016. aastal sai üks ründaja juurdepääsu 57 miljoni Uberi kasutaja isiklikule teabele. Eraisik nõudis teabe eest lunarahana 90 000 eurot. Kongressis tunnistusi andes teatas Uberi infoturbejuht John Flynn, et ründajatele maksti 9 000 eurot ettevõtte veahaldusprogrammi kaudu, kuid andmed olid juba enne makset kustutatud. Intsidendile reageerimisel tegi Uber koostööd HackerOne’iga olemasoleva veahaldusprogrammi reeglite värskendamiseks. Eesmärk oli käsitleda selliseid aspekte nagu mida hõlmab endas heas usus haavatavuse uurimine ja avalikustamine.

Seega, kas teie ettevõttel peaks olema oma veahaldusprogramm?

Muidugi ei piirdu veahaldusprogrammid ainult tehnoloogiahiiglastega. Enda käsutuses paljude ressursside omamine aitab edukat veahaldusprogrammi luua. Kuid õigesti ellu viidud veahaldusprogramm võib teie ettevõtet pikas perspektiivis tohutult aidata. Alustuseks võib see pikas perspektiivis raha säästa, kui arvestada lünkade lappimise ja olemasoleva süsteemi turbetaseme tõstmisega. See võib ka aega kokku hoida, samuti vähendada vajadust spetsiifilise oskustööjõu järele turvalisuse käsitlemisel.

Kuid see ei tähenda ainult turbeuurijatele rahalise preemia pakkumist. Nagu näitas Facebooki juhtum, on ettevõtte ja kõigi turvaprobleemidest teavitajate vaheline õige suhtlus ülioluline. Vahest veelgi olulisem on selgete ja täpsete reeglite kehtestamine. Uber sai kannatada ettevõtte lünkliku veahaldusreeglistiku tõttu. Tugev poliitika koos tõhusa teabevahetusega võib eduka veahaldusprogrammi loomisel kaugele viia.