Największe firmy bazujące na zdobyczach nowych technologii zaczynają korzystać z pomocy hakerów. Programy bug bounty polegające na tym, że przedsiębiorstwa same proszą internautów o testowanie ich zabezpieczeń, stały się pretekstem do współpracy, która do niedawna wydawała się absurdalna i niebezpieczna.
![Zhakowali największe firmy. Teraz chronią je przed innymi [Wywiad]](https://galeria.bankier.pl/p/5/c/c78ef886649777-945-560-0-311-1500-899.webp)
O pomoc hakerów upraszają się obecnie nie tylko największe firmy, ale także instytucje rządowe. Z taką propozycją wyszedł niedawno nawet rząd Stanów Zjednoczonych, kierując do internautów wyzwanie „Zhakuj Pentagon”. W przypadku testowania nowych produktów firmy nie chcą jednak ryzykować. Dlatego potrzebny był ktoś, kto zagwarantuje tylko tych „dobrych” hakerów na ich potrzeby.
Na tej koncepcji powstała amerykańska firma HackerOne, która postanowiła zrzeszyć społeczność hakerów do dobrych celów. Udostępnia ona hakerom i firmom platformę dającą możliwość odnalezienia się w sieci i podjęcia wspólnej pracy nad bezpieczeństwem w internecie i technologii. Z ich usług korzystają m.in. Twitter, General Motors czy Dropbox. Współzałożyciel HackerOne, Michiel Prins, opowiada w rozmowie z Dz, jak to się zaczęło i dlaczego warto zaufać „etycznym hakerom”.
Mateusz Gawin, Dz: Jaka była idea stworzenia HackerOne?
Michiel Prins, współzałożyciel HackerOne: Z moim wspólnikiem, Jobertem Abmą, dorastaliśmy, hakując razem w Holandii. W 2011 roku stworzyliśmy listę 100 firm z branży technologicznej, których zabezpieczenia zamierzaliśmy przetestować. W każdej z nich znaleźliśmy luki – zaliczały się do tego grona m.in. Facebook, Google, Apple, Microsoft czy Twitter. Kiedy chcieliśmy powiadomić te spółki o wadach ich serwisów, okazało się, że nie powstał jeszcze system umożliwiający dzielenie się takimi informacjami. Taki, który zwróciłby uwagę na pozytywny aspekt hakowania i go wykorzystywał.
Pojawił się tylko jeden wyjątek – Facebook. Szef działu zajmującego się bezpieczeństwem produktów, Alex Rice, odpisał nam wtedy z entuzjazmem. Po jego odejściu z firmy, wspólnie zaczęliśmy rozwijać inicjatywę, która pozwoli hakerom się zjednoczyć i zachęcić ich do etycznego hakowania. Tak narodził się pomysł na HackerOne.
Czyli nawet najwięksi nie przywiązują do bezpieczeństwa wystarczającej uwagi?
Firmy i organizacje mają fałszywe poczucie bezpieczeństwa. Ufają tylko standardowej i statycznej ochronie – nie doceniają i nie rozwijają kanałów wsparcia, jakie mogą zapewnić im hakerzy. Technologia jest zepsuta przez kreatywnych ludzi – im większe są ich zapędy, tym bardziej zasadna jest pomoc największej armii specjalistów na świecie – hakerów.
Ponad 94 proc. firm z zesłorocznej edycji Forbes Global 2000 nie zapewniło rozwiązań, które pozwalały zewnętrznym specjalistom zgłosić jakiekolwiek zastrzeżenia co do ich zabezpieczeń czy błędów. A co gdyby udało się ustrzec przed olbrzymim wyciekiem danych w przysłości, dzięki temu, że ktoś zgłosiłby zastrzeżenia na ten temat wcześniej? Hakerzy mogą być bohaterami, ale najpierw firmy muszą zechcieć ich słuchać. Efektem byłby bezpieczniejszy internet dla wszystkich.
I jakie błędy popełniają najczęściej?
Najczęściej słyszymy o tych znajdujących się na liście OWASP (organizacja non-profit działająca w obszarze bezpieczeństwa oprogramowania – przyp. red.). Ta lista rzutuje praktycznie na całą branżę. Przestępcy celują w dane osobowe i każde zaniedbanie, które zwiększa ryzyko ich przechwycenia, potrafi napytać firmom sporej biedy.
Klienci nie są czasem sami sobie winni?
To zależy od tego, w jaki sposób dane zostały przechwycone. W obliczu zalewu atakami phishingowymi, zarówno firmy, jak i klienci muszą być wystarczająco spostrzegawczy pod względem ochrony informacji.
Wymieniłeś największe marki z branży. Czy małe firmy też mogą korzystać z usług hakerów?
Oczywiście. Nie ma żadnych ograniczeń co do tego, jaka firma może czerpać korzyści z programów bug bounty. Z naszych usług korzystają zarówno małe, jak i duże przedsiębiorstwa. Dopasowujemy nasze ܲłܲ do potrzeb każdego z osobna. Staramy się również udostępniać darmowe narzędzia do tropienia luk w oprogramowaniu.
Klienci płacą wam czy hakerom?
HackerOne pobiera 20-procentową prowizję od przeprocesowanych płatności za ܲłܲ bug bounty. Oferujemy również trzystopniowe pakiety subskrypcji polegające na dodatkowych funkcjach i bieżącym wsparciu.
Obecnie ż technologiczna mocno inwestuje w internet rzeczy. Waszym zdaniem jest to nieunikniona przysłość, czy zaczęło wymykać się to spod kontroli?
Tego nie da się już zatrzymać. Coraz więcej firm i marek dąży do wprowadzania produktów urozmaicających nasze, już i tak „podłączone”, życie. To dotyczy także urządzeń, z których korzystamy od lat, takich jak elektronicznie nianie czy samochody – zyskują dzięki internetowi dodatkowe funkcje. Choć są firmy, które 辱ńٷɴ klienta mają z tyłu głowy już na etapie projektowania produktów, są i takie, które w ogóle nie przywiązują do tego uwagi. Bez względu na to kim jesteś i co tworzysz, powinieneś dać do tego dostęp osobom, które mogą wykryć dla ciebie wszelkie nieprawidłowości.
Czyli problem z odpowiednim zabezpieczeniem się będzie coraz trudniejszy?
Dzisiaj kodujemy szybciej niż kiedykolwiek i wszystkie rozwiązania technologiczne posiadają błędy, które są nieuniknione. To jak firmy będą radzić sobie z tym ryzykiem i odpowiadać na zgłoszenia użytkowników lub łowców błędów, będzie prawdziwym testem dla ich polityki bezpieczeństwa.
Co więc poradzilibyście młodym firmom, które dopiero wejdą na rynek technologiczny i chcą dobrze chronić swoje interesy i dobro klientów?
Najlepszą metodą na sprawdzenie swojego systemu bezpieczeństwa jest zwrócenie się do zaprzyjaźnionego hakera, by podszedł do sprawy jak przestępca. Niech sprawdzi twój produkt i da ci znać, co udało mu się wykryć. Na takiej zasadzie działa HackerOne, pracując z ponad 500 topowymi firmami, pomagając im usprawnić ich system dzięki społeczności hakerów.
