Dansk startup vil score kassen på at pudse hackere på virksomheder

Illustration: Virrage Images/Bigstock
Find et sikkerhedshul og vind en dusør. Ny dansk startup vil formidle kontakten mellem White Hat-hackere og virksomheder, der ønsker at penetrationsteste deres systemer.

Opret din profil, sæt en dusør på højkant og invitér alverdens hackere til at angribe dine sikkerhedssystemer for fuld kraft. Sådan lyder tilbuddet fra CrowdCurity, der er startet af fire danske iværksættere.

CrowdCurity forventes at gå i luften til september og skal være en portal for de virksomheder, der ikke automatisk har kreative hackeres opmærksomhed. Ligeledes skal det være en slags jobportal for dygtige hackere med gode intentioner. I første omgang fokuserer iværksætterne på det danske marked, men er udmærket klar over, at konceptet har globalt potentiale.

Forretningsmodellen er simpel: Når en hacker finder et hul i systemet, belønnes vedkommende med en på forhånd specificeret dusør, hvoraf CrowdCurity tager en procentdel i kommission. Finder hackerne ingen svagheder, koster testen reelt ingenting.

Tror på det gode i mennesker

Version2 talte med to af de fire unge mænd, der i øjeblikket sidder samlet i den argentinske hovedstad Buenos Aires for at arbejde koncentreret frem mod launchen.

Navnet er en sammentrækning af det princip, den nystartede virksomhed er bygget op omkring, nemlig 'crowdsourced security', og ifølge Esben Friis-Jensen og Jakob Storm fra CrowdCurity er det netop deres store force.

»Det, der er anderledes ved vores tilgang, er, at en kunde kommer ud til mange forskellige sikkerhedstestere, der anvender en bred vifte af værktøjer. På den måde bliver testen mere alsidig og dermed mere brugbar«, siger Esben Friis-Jensen til Version2.

For virksomhederne handler det i høj grad om tillid. Det er svært at kontrollere, om hackerne rapporterer alle huller, de finder, eller får adgang til fortrolige oplysninger, som i de forkertes hænder kan være invaliderende for virksomheden.

»Vi tror grundlæggende på, at der er flere godsindede end ondsindede mennesker i verden. Det er en del af filosofien i crowdsourcing, at man tror på det bedste i folk, og den værdi, det giver, at mange folk kigger på den samme problemstilling«, siger Jakob Storm til Version2.

Store virksomheder som Facebook, Google og Microsoft får opmærksomheden fra hackerne helt af sig selv. Den har de vendt til noget positivt, og navnlig Microsoft har i mange år satset stort på denne praksis. I øjeblikket udlover de op til 100.000 dollars til den hacker, der kan finde alarmerende sikkerhedshuller i Windows 8.1 Preview.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (4)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Carsten Andersen

vi har i dag et fremragende firma (CSIS) som tjener deres penge ved at hjælpe firmaer med ikke at blive ramt.. så at under minere dette ved at betale hackere for at hacke er jo tæt på snot onssvagt...

Det må jo være det samme som at levere hash til pushere for at videresælge.. fremfor at forbyde...

Efter min mening burde sådan et firma hives ud på pladsen og ......

  • 0
  • 9
David Rechnagel Udsen

Det må jo være det samme som at levere hash til pushere for at videresælge.. fremfor at forbyde...

Din sammenligning giver ingen mening. I overstående artikel taler de om at virksomheder opretter en profil til at blive 'hacket', og sætter en dusør på højkant. Dette er faktisk ikke noget usædvanligt, da denne metode at 'invitere' hackere på er blevet brugt i årevis.

Jeg kan ikke se hvad din sammenligning har med dette at gøre på nogen måde. Jeg antager du sammenblander 'pushere' med 'hackere', da de er de kriminelle. Men hvem i det scenarie beder 'nogen' om at give dem hash? Er det pusherne? I så fald misforstår du artiklen, da det er virksomhederne selv der beder om det. Er det politiet? Jeg er ret sikker på at politiet har deres egen strategi hvor de faktisk lader som om de har stoffer at sælge, for at få pushere ned med nakken; ikke for at videresælge. Igen, jeg forstår ikke din sammenligning. Jeg antager du håber at ingen tænkte over den, og bare ville blive enig fordi du nævnte stoffer. Hvorfor sammenlignede du ikke bare idéen med nazisterne? Det ville give lige så meget mening.

Desuden kan CSIS ikke redde alle virksomheder (deres system er jo næppe perfekt) og så er CSIS også en ret dyr service; jeg antager at disse dusører kan blive en langt billigere affære for virksomhederne end CSIS.

  • 8
  • 0
Hans-Michael Varbæk

CSIS er ikke engang et firma dedikeret til penetration testing og de har langt fra eksperterne til dette. CSIS er specialiserede i botnets, deres Heimdal produkt, malware hvor botnets hører under, osv.
CSIS er dog bange for konkurrence og greyhats generelt, og især Crowd Sourced pentesting som måske, endelig ville kickstarte markedet i DK som ville gøre Danmark mere interessant for eksperterne som arbejder i udlandet.

Hvis det er pentesting folk du skal bruge i DK er det FortConsult og Fishnet Security som du skal have fat i. Sidstnævntes navn er muligvis skrevet forkert.

Problemet med de få danske firmaer som har markedet for dem selv, er at de lukker IKKE potentielt talent ind, eller tester folk som ansøger om de kan noget. Så alt det hacking talent vi har i DK, som gør det for sjov og lovligt, eller som arbejder i udlandet, bruger deres tid på udenlandske firmaer og international Crowd sourcing. (Og nogle researcher / hygger sig bare.)

I stedet for kigger de danske firmaer 5 minuttet på ens cv og hvis man har ingen relevant erfaring er man stemplet som "nobody", selv hvis man har hevet masser af penge ind via Crowd sourcing.

Jeg har selv tjent lidt på det, måske 1k$ i alt for sammenlagt 24 timers arbejde. En tidligere kollega, har dog sidste år hevet mere end 20k$ ind, plus at han samtidig arbejder med det og har en høj løn.

Mange folk ser Crowd sourcing som et problem, men hvis man tester et system som alle kan tilgå via Internettet, så har hackerne på "den onde side" med garanti prøvet, hvor nogle måske allerede har lagt en bagdør ind. Firmaet ved dog måske ikke noget fordi de ikke selv har fundet ud af problemet endnu.

Crowd sourcing ville her, hjælpe på den slags problemer hvor systemer der allerede er tilgængelige på Internettet ikke burde have hemmelig data gemt ukrypteret. En Crowd Sourced pentest her ville måske løbe op i 2000-5000kr.

En pentest foretaget af et firma ville koste mindst 5000kr om dagen og projektet ville sikkert vare i 3 dage, hvilket ville blive 15'000kr.

Crowd sourcing kan dog ikke erstatte services som interne pentests, og lignende hvor man skal ud til en kunde. Crowd Sourced pentesting garanterer heller ikke at "næsten alt" er afprøvet, da jeg sagtens kan finde 10-30 ting der kan gøres bedre på mange hjemmesider. Så risikoen ved Crowd Sourced pentesting er grundigheden, da måske 5 eller endda 20 hackere som ikke arbejder med det til dagligt sagtens kan glemme eller ikke gide fokusere på den store mængde af problemer der kan være med hjemmesider.

Min holdning er dog, at hvis de kan få det til at virke i DK, helt lovligt og med div. forholdsregler som beskytter testerne, så skal de da gøre det. Det vil kun gavne sikkerheden, så jeg er 100% for at de skal gøre deres bedste så Danmark måske endelig vil komme ind i kampen på pentesting markedet.

Jeg glæder mig til at høre mere, på trods af Carstens uvidenhed om hvordan hacker verdenen hænger sammen. Hackere har opfundet alle mulige ting, og gjort computer systemer meget mere sikre, både hos firmaer og for sjov helt gratis og etisk i deres fritid.

  • 3
  • 0
Jakob Storm

Så er vi gået "live" med vores platform for crowdsourced security test. I det første program inviterer vi testere og whitehat hackere til at teste vores egen web applikation! Det er meget spændende og indtil videre er det gået over al forventning - de rapporter vi modtager er relevante og af høj kvalitet. Det bliver interessant at se hvad der sker over de næste dage. Mere information om platformen kan ses på https://www.crowdcurity.com

  • 0
  • 0
Log ind eller Opret konto for at kommentere