Betaler for 40 sårbarheder årligt i eget system: Det ville være katastrofalt, hvis nogen får hacket sig ind

Disclaimer: Jeg er co-founder i Cobalt.io.

De fleste uenigheder opstår når gammeldags IT-tankegang møder script-kiddy-beg-bounty-hunteren. Heldigvis vil vi det samme, bedre sikkerhed.

Cobalt har crowdsourcet sikkerhedstestere de sidste 4 år med hundredevis af virksomheder, inklusiv os selv. Vi har testet startups og Fortune 100-virksomheder. God IT-sikkerhed kræver indsats flere steder i en organisation: I kildekoden, i konfiguration, i uddannelse af personale, etc. og en erkendelse af at IT-sikkerhed aldrig bliver perfekt. Med den erkendelse er det ingen skam at nogen finder et sikkerhedshul – det er ganske naturligt. Organisationen bør dog garantere en vis SLA, e.g. kritiske huller fikset inden 48 timer, mellem-risiko inden for 1 måned, etc. Over tid viser prioriteringen et fokus på sikkerhed, og vil naturligt gå upstream til udviklerne så de lærer af deres fejl.

Hurtig/automatiseret patching er også et element i en organisations sikkerhedsmodning. Hvis en større organisation er blevet opmærksom på kritiske sikkerhedshuller i deres produktionsmiljø som de simpelt hen ikke kan opdatere hurtigt, så skal selve deploymentprocessen revideres, så eksponering (tid X antal mulige ofrer X kritikalitet) bliver minimeret.

Alt kan testes/hackes. Hvis det kræver login, kan e.g. NEM ID lave test-konti eller køres på et test/staging miljø.

Det er jo derfor at bug hunteren benytter det opsatte testmiljø, der svare til produktionsmiljøet.

Patchwork er en kunstart for sig

Kan du uddybe, for hvis koden der afvikles er den samme men data bare er et mockup datasæt, så er der vel ikke nogen forskel

Min erfaring er at det ikke altid er tilstrækkeligt at teste med mockup data for at finde fejl i et system. Det er bl.a. derfor man i visse tilfælde har et staging miljø, hvor de kan verificeres at software sammen med produktionsdata ikke indeholder fejl.

Min generelle betragtning omkring det emne som artiklen omhandler er, at det her værktøj/tilgang til at finde fejl ikke nødvendigvis kan anvendes i alle situationer. Der findes ikke en gylden løsning på det omtalte problem.

For en god ordens skyld har jeg opdateret artiklen med en pointe fra Niels Henrik Sodemann om, at virksomheden naturligvis også selv har testet og lukket eventuelle huller i koden. Jakob - V2

Og jeg vil gerne pointere at mine kommentar ikke gik på Niels Henriks setup (jeg kender det ikke). Min kommentar gik på at jeg mange gange har oplevet at sikkerhed er noget man overvejer når løsningen er lavet og i produktion. Måske først når nogen ringer og fortæller om et hul. Man tror man kan sikre systemet ved at hyre firma X, som så laver penetration testing o.lign. Det er for sent når først systemet er i produktion. Ligesom QA så er sikkerhed typisk ikke en magisk sovs man kan hælde ud over systemet når skaden først er sket.

Man bør lave et egentligt sikkerhedsreview. Hvis man vil have mest ud af sin indsats, så finder man nogle kritiske folk som forstår sig på sikkerhed. Hvis man har dem internt i firmaet så er det fint, ellers kan man finde dem eksternt. Man giver dem en overordnet introduktion til systemet, fx hvor data kommer fra, hvilket data der er sensitivt, etc. Herefter går man hele systemets flade ud mod verden igennem og diskuterer hvordan det kan angribes. Det være sig brugerens input data, men også de services som systemet selv måtte bruge. Dette gøres tidligt i udviklingsfasen og lige inden det ryger i produktion.

I tilfældet KMDs pladstilmeldingssystem, så ville følgende spørgsmål blive stillet: ”Er det et problem at man kan slå tilfældige menneskers navn op ud fra CPR?”

Man finder aldrig det hele. I det lys vil jeg kalde denne form for testing en gratis omgang, selvom man faktisk betaler folk for deres arbejde.

Når nu systemet er i produktion så er det fint hvis nogen rapporterer fejl de har fundet. At give dem penge er også fint. Men omkostningen ved at finde fejl når noget først er gået i produktion – specielt de mere hard core sikkerheds problemer – er meget større end når det sker i udviklingsfasen. Hvis man formår at undgå at der går bureaukrati i opgaven, så koster det typisk noget mindre end 1% af udviklingsomkostningerne.

Wow shit det var mange thumbs down på noget der er fundamentalt for god software.

Enig.

Altså at revidere koden internt og følge nogle guidelines så man får lukket fejl der måtte være opstået. Hvis man har hang til XSS, sql injections og andre fejl der opstår pga. dårlig sanitering af input, skulle man måske overveje at søge kvalificerede programmører.</p>
<p>Det er alt andet lige meget lettere at finde fejl når man har kildekoden ved hånden, end at nogle udefra skal forsøge at finde fejl "black box" style. Og nogle fejl bliver ikke fundet ved denne metode.

Jup, men det ene udelukker ikke det andet. Jeg synes det er fint, at gøre begge dele.

// Jesper

Kan du uddybe, for hvis koden der afvikles er den samme men data bare er et mockup datasæt, så er der vel ikke nogen forskel.

Hvad angår NemID/login så er det en særskilt test og hvis du tænker på at der kunne være implementeret en fejl i grænsefladen mellem NemID og den bagvedliggende applikation, så skrev jeg at NemID måske kunne simuleres (jeg er ikke udvikler), så der foretages et login der har samme virkemåde som NemID.

Nu her om lidt når vi alligevel begynder at uddele bøder til typer som KMD, så syntes jeg dels vi udvider den sådan at KDM's opførsel her sidst, med politiameldelse og public shaming skulle medføre en bøde, ligesom selve fejlen skal medføre en bøde, begge skal være i procent af omsætningen.

En del af bøden kan så passende bruges til findeløn.

Alternativt skal virksomhederne opfordres til at håndtere henvendelsen ansvarligt og få lukket hullet, og således kunne slippe for bøden. (Selvfølgelig kun den del der omhandler opførsel overfor finderen)

Men ja ... folk burde tvinges til at sikre deres lort inden de releaser, jeg sider tit som udvikler på projekter hvor vi anbefaler at der sættes så-og-så-meget af tid security-audit ... og oftest ender kunden med at decimere vores anbefalinger hvis de endelig lytter i første omgang, primært fordi det er omkostningsfrit for dem at gøre det.

Til Cluas Juul, I så fald er der stadig risiko for at ikke alle fejl bliver fundet.

Jeg har intet imod at man betaler folk for at rapportere fejl.</p>
<p>Men det er for sent og dyrt at finde dem på den måde. Alt software bør gennemgå et sikkerhedsreview inden det kommer i rigtig produktion. Det er simpelthen meget billigere og sikrere at finde sikkerhedsfejl hvis man forstår hvordan software er opbygget og har mulighed for at stille spørgsmål til designere og udviklere.

Wow shit det var mange thumbs down på noget der er fundamentalt for god software.

Altså at revidere koden internt og følge nogle guidelines så man får lukket fejl der måtte være opstået. Hvis man har hang til XSS, sql injections og andre fejl der opstår pga. dårlig sanitering af input, skulle man måske overveje at søge kvalificerede programmører.

Det er alt andet lige meget lettere at finde fejl når man har kildekoden ved hånden, end at nogle udefra skal forsøge at finde fejl "black box" style. Og nogle fejl bliver ikke fundet ved denne metode.

Ja ved at skulle stille systemer til rådighed + evt. udgift til bounties og administration af bugbounty programmer, stiller man en hel underskov at små it udbydere i en situation, hvor det ikke kan betale sig at drive virksomhed, selv hvis man har styr på sikkerheden.

Er ikke lun på ideen.

For at få tilladelse til at behandle personfølsomme oplysninger for danskere burde det simpelthen være et krav, at man stiller et testsystem til rådighed hvor uafhængige kan udføre penetrationstests, og der burde være statsligt fastsatte minimumstakster for bounties, så de uafhængige testere kan få en rimelig betaling hvis de finder noget.

Kravet burde gælde både offentlige og private systemer som behandler personfølsomme oplysninger.

Det er jo derfor at bug hunteren benytter det opsatte testmiljø, der svare til produktionsmiljøet.

I et test eller bug hunt miljø vil der ikke nødvendigvis være produktionsdata, dvs. personfølsomme data og NemID kan fjernes eller simuleres uden kort.

Det er rigtigt at for at få dem testet fra a-z skal man være logget ind. Men det ville være et godt sted at starte at give dusør for at finde fejl for dem der er logget ind af legitime årsager. Og man kan få testet de dele af systemet der ikke kræver login, det er efter min mening næsten mere vigtigt at sikre at man ikke kan komme i kontakt med personfølsomme oplysninger uden at logge ind /Jakob

Jeg synes at det virker som et fint måde at finde fejl i, men jeg tror ikke at det samme værktøj/fremgangsmåde kan anvendes i forbindelse med off. systemer i DK. Til at starte med skal man sandsynligvis have et NemID. Ofte er der tale om personfølsomme data for adre borgere som jeg ikke burde tilgå (altså systemet burde som minimum være sikret mod fejl som den fundet af Espen).

Man finder aldrig det hele. I det lys vil jeg kalde denne form for testing en gratis omgang, selvom man faktisk betaler folk for deres arbejde. Der sidder nogle folk derude som måske har specialiseret sig i nogle få typer fejl, og støvsuger diverse apps for dem, mens andre bare får en god idé eller har fingeren på en anden puls. Men finder de ikke noget - fordi man faktisk har fundet det hele selv - er det gratis.

For en god ordens skyld har jeg opdateret artiklen med en pointe fra Niels Henrik Sodemann om, at virksomheden naturligvis også selv har testet og lukket eventuelle huller i koden. Jakob - V2

Jeg har intet imod at man betaler folk for at rapportere fejl.

Men det er for sent og dyrt at finde dem på den måde. Alt software bør gennemgå et sikkerhedsreview inden det kommer i rigtig produktion. Det er simpelthen meget billigere og sikrere at finde sikkerhedsfejl hvis man forstår hvordan software er opbygget og har mulighed for at stille spørgsmål til designere og udviklere.