Enemmän silmäpareja = vähemmän bugeja

Miksi antaa ulkopuolisille valkohattuhakkereille lupa tulla etsimään haavoittuvuuksia yrityksen tietojärjestelmistä? Esimerkiksi siksi, että kun heille kerrottiin uudesta testattavasta palvelusta kello 19 Suomen aikaa, niin seuraavana aamuna sähköpostiin oli saapunut tieto sekä haavoittuvuudesta että esimerkki siitä, millaista dataa sitä hyväksikäyttämällä saataisiin luvattomasti ulos järjestelmästä.

Jos hakkerit joka tapauksessa tulevat ennemmin tai myöhemmin kolkuttelemana portteja, eikö ole parempi että joku muu on ensin käynyt luuhannut nurkat läpi luvan kanssa?

LähiTapiolan CISO Leo Niemelän Viestintäviraston ja Huoltovarmuuskeskuksen Tietoturvaseminaarissa kertoma esimerkki oli dramaattisemmasta päästä, mutta myös pienempien aukkojen tukkimisesta on ollut apua. LähiTapiola aloitti bug bounty -ohjelmat ensimmäisenä pohjoismaisena finanssikonsernina vuonna 2015. Niiden ideana on, että asiakas tarjoaa kiinnostuneille valkohattuhakkereille mahdollisuuden tulla etsimään potentiaalisia vikoja määrätyistä kohteista ja niiden dokumentoinnista maksetaan palkkio.

Leo Niemelä kertoi LähiTapiolan bug bounty -ohjelmasta

Yhtiö on maksanut vajaan kolmen vuoden aikana bugipalkkioita 113 811 dollaria. "Veikkaan että meidän tapauksessa yksi data breach ei kattaisi tuota hintaa lähellekään", Niemelä kommentoi summaa.

Palkkioraha jakautuu 237 raportille, joista kertyneistä bugeista on korjattu 185 kappaletta. Yhtiö on ottanut käytännöksi, että palkkio maksetaan heti kun haavoittuvuuden olemassaolo saadaan vahvistettua, vaikka sen korjaamisessa saattaakin kestää hieman pidempään.

Kyseessä ei kuitenkaan ole kuuluisa ilmainen lounas. Ensinnäkin ajatuksen myymisessä johdolle oli oma vaivansa ja kun budjettia ei voi määrätä tietoturvajohtaja yksin, se vaikuttaa siihen millaisia tekijöitä saadaan houkuteltua mukaan.

Toisekseen yhtiön pitää pystyä tarjoamaan tarpeeksi kiinnostava kohde, vaikka rahan vaikutusta motivaattorina ei pidä väheksyä. Tätä puolta korosti myös Tietoturvaseminaarissa puhunut Iiro Uusitalo, joka tunnetaan muun muassa Ticket-masterin ja sähköautovalmistaja Tesla Motorsin tietoturva-aukkojen löytämisestä.

Iiro Uusitalo toimii haavoittuvuustutkijana Solitassa

Uusitalon mielestä olennaista on se, että toimeksianto vaikuttaa mielekkäältä. Siihen puolestaan vaikuttaa muun muassa scope eli se, miten laajat tai suppeat toimivaltuudet haavoittuvuuksien etsijöille annetaan. Jos skooppi on rajattu erittäin kapeaksi, on epätodennäköisempää, että etsijä löytää mitään erityisen kiinnostavaa.

Ei-rahallisten kannustimien joukkoon kuuluvat hänestä myös mahdollisuus päästä kokeilemaan erilaisia tietoturvatyökaluja todellisessa ympäristössä, kollegoiden kanssa toimiminen, vertaistuki, mutta myös kilpailuhenkisyys. Ja välillä motivaatioapua todella tarvitaan.

"Taisin puoli vuotta jahdata Teslalta haavoittuvuutta ja kun se lopulta löytyi, se merkittiin duplikaatiksi [aiemmin löytyneen bugin kopioksi], jolloin en saanut siitä rahaa", hän kertoi.

Bug bountyihin liittyy muutamia väärinkäsityksiä, joita etenkin LähiTapiolan Niemelä oikoi. Ensinnäkään kyse ei ole siitä, että yhtiö olisi lopettanut kaiken muun auditoinnin, vaan bugijahdit ovat yksi työkalu lisää. Näkyvin ero aiempaan on Niemelän mukaan siinä, että bug bountyä edeltävä oma turvallisuustestausvaihe on nykyään aiempaa lyhyempi – jos siihen aiemmin käytettiin viisi päivää, nyt omat testit kestävät päivän ja sen jälkeen palvelut annetaan ulkopuolisten koeteltavaksi.

Toisekseen kyseessä ei ole carte blanche -lupa käydä tonkimassa mitä tahansa palvelua, vaan esimerkiksi LähiTapiolan tapauksessa kyse on yleensä internetiin kytketyistä palveluista. Hyökkäysvektorit eli -reitit ovat tällöin useimmiten www-palvelimia ja niillä ajettavia skriptejä sekä tietokantapalvelimia, mutta toki myös kaikkea muuta, mikä näkyy julkisen netin suuntaan.

Yhtiö on järjestänyt erikseen muihin palveluihin kohdistuvia bugijahteja, mutta niiden osallistujat on valittu kutsumenettelyllä. Monissa bug bounty -alustoissa, kuten LähiTapiolan käyttämässä HackerOnessa, on pisteytys- tai karmajärjestelmiä, joilla tavoitellaan samaa asiaa eli rajataan osallistumaan kykenevien hakkerien joukkoa sellaisiin, joilla on aiempaa näyttöä osaamisesta.

Ja vaikka äkkiseltään voisi ajatella, että pienen tai keskikokoisenkin suomalaisen yrityksen voisi olla kansainvälisiä jättiläisiä hankalampi houkutella valkohattuhakkereita, huomautti Iiro Uusitalo kotimaisuuden olevan ehdoton vahvuus.

"Itse suosin suomalaista, koska kun ymmärrän miten palvelu toimii, myös todennäköisemmin löydän sieltä aukkoja", hän sanoi.

Teksti ja kuva: Olli Sulopuisto

Viestintäviraston Kyberturvallisuuskeskuksen ja Huoltovarmuuskeskuksen Tietoturvaseminaari18 järjestettiin 22.5.2018 Helsingissä Tennispalatsissa. Julkaisemme seminaarin aiheista artikkelisarjan, jonka kolmas osa tämä artikkeli on. Sarjan seuraavissa osissa käsittelemme vielä esimerkiksi haavoittuvuuksien metsastystä. Seminaaria koskevat uutiset löydät niiden ilmestyttyä Tietoturva Nyt! -osiosta.

Päivityshistoria

Asiasanat: Tietoturva , Haavoittuvuuskoordinointi , Kyberturvallisuus , Tietoturva nyt!

LinkedIn Print

Yhteystiedot

logo

Viestintävirasto

Kyberturvallisuuskeskus

PL 313, 00181 Helsinki


Mediayhteydenotot puhelimitse 0295 390 248