- Det er viktig at bedriften setter noen klare retningslinjer slik at jeg faktisk ikke bryter noen lover med testingen, eller gjør noen form for testing som kan forstyrre et produksjonsmiljø, sier Thomas Gøytil, dusørjeger og sikkerhetssjef i SaaS selskapet Klaveness Digital, til kode24.
Gøytil leverte sin første rapport til Bugcrowd, en av de store bug bounty-plattformene, i juni 2017. Den ble klassifisert som "not applicable".
Men han hadde funnet mange sikkerhetsfeil før dette i forskjellige bedrifter, før bug bounties ble utbredt.
Og i dag bruker veteranen i snitt ti timer i uken.
- Det er følelsen man får når man finner en kritisk sårbarhet som driver meg
Går kun til bedrifter med retningslinjer
I dag finner Gøytil kun sårbarheter for bedrifter som har et etablert bug bounty eller vulnerability disclosure-program (VDP). Noe som er viktig for han, da de setter retningslinjer for hva du har eller ikke har lov til å gjøre.
- Det finnes altfor mange eksempler på personer som har funnet sikkerhetsfeil hos bedrifter og forsøkt å rapportere disse, men har endt opp med å bli saksøkt, eller det har blitt opprettet sak mot dem.
- Hvor mye pleier du å tjene?
- Jeg gjør veldig mye testing på det som heter VDP-program. VDP står for vulnerability disclosure program, som er et program som ikke gir belønning i form av penger, men de har en etablert kanal der du kan rapportere feil. Det betyr som regel at feilene også blir fikset, hvis de er alvorlige nok.
Gøytil sier at før bug bounties og VDP var en greie, kunne du fint rapportere ganske grove feil uten at de ble fikset, eller at du fikk noe svar på e-posten du sendte.
«Når jeg faktisk velger å investere litt tid i et program, har jeg som regel samlet en del informasjon om programmet via automatiske jobber før jeg gjør dypdykket»
Gir 3.000 til 5.000 dollar
Gøytil deltar også i programmer som gir utbetaling basert på hvor grove feil du rapporterer, men legger til at variasjonene er store.
- De best betalte programmene gir som regel et sted mellom 3.000 til 5.000 dollar, eller mer, for de mest kritiske feilene, men kan betale bare 50 dollar for de minst kritiske.
Han mener det er et problem at mange bug bounty-programmer kun gir belønning når du rapporterer feil - ikke for tiden du investerer.
- Dersom du for eksempel velger et program mange andre har sett på, kan du fint brenne av veldig mye tid uten å finne feil og få ikke en eneste krone tilbake, sier han.
Bruker 10 timer uken
Gøytil forteller at han i snitt bruker kanskje 10 timer i uken på bug bounty-jaging. Noen uker jobber han ganske intenst og bruker mye tid i helgene, andre ganger hender det at han ikke gjør noe på flere måneder.
- Jeg har dog drevet med dette en stund og har et par automatiske jobber som konstant går i bakgrunnen og samler informasjon. Slik at når jeg faktisk velger å investere litt tid i et program, har jeg som regel samlet en del informasjon om programmet via automatiske jobber før jeg gjør dypdykket.
Den kuleste feilen Gøytil har funnet er en såkalt Server-Side Request Forgery-feil (SSRF), hvor han hadde mulighet til å gjøre et kall via en web-applikasjon inn i bedriftens nettverk.
- Med rapporten min la jeg et skjermbilde av den interne brannmuren og administrasjonssystemet, som ikke skulle være tilgjengelig eksternt, som jeg kunne nå ved hjelp av feilen uten noen form for autentisering. Det demonstrerte hvor kritisk sårbarheten var og bedriften var ganske kjappe med å rette feilen, sier han.
«Jeg spiller selv for det norske laget "bootplug".»
Sikrer kontinuerlig testing
Gøytil mener at bug bounties er viktig fordi dagens bedrifter ikke klarer å avdekke alle feilene ved å kun leie inn et eksternt sikkerhetsselskap, som gjør begrensede penetrasjonstester som kun varer noen uker.
- Ved å ha et bug bounty-program vil de kontinuerlig kunne bli testet og få eksperter på visse feil-klasser innom programmet, som faktisk graver virkelig i dybden for å finne feil innenfor det de er gode på, sier han.
Gøytil trekker fram at det ikke er alle sikkerhetsselskaper som kan tilby spesialiserte eksperter i sin sikkerhetstest, og at med bug bounties vil selskapet ha en offisiell kanal der rapporterte sikkerhetsfeil blir fanget opp. Før programmene måtte man finne fram til riktig person i bedriften for i det hele tatt ha en sjanse for at feilen ble fikset.
- Det er ikke alle i markeds- eller kommunikasjonsavdelingen, som er veldig ofte ditt kontaktpunkt med en bedrift når de ikke har bug bounty program, som skjønner hva, hvor ille eller hva slags skadepotensiale en "blind SQL injection i en GET-parameter" kan være.
Slik blir du dusørjeger for SpareBank 1
Hvor starter du?
Men hvor starter du dersom du vil begynne med bug bounties? Ifølge Gøytil er mange dusørjegere spesialister på sitt eget felt. Noen er for eksempel gode på mobiltelefoner, andre på binary explotation.
- Mitt ekspertområde er web-applikasjoner, så hvis du vil lære mer om web er min anbefaling å starte og lære seg programmering. Etter det kan du begynne å løse oppgaver på PortSwigger sitt Web Security Academy, hvor alle oppgavene er gratis og ligner veldig på mange av de web-feilene man finner i forskjellige bug bounty-program.
Gøytil tipser om at det finnes flere initiativer med mentorordninger for folk som er nye eller nysgjerrige på IT-sikkerhet, og at flere av bug bounty-plattformene også har læremateriale som er verdt å lese.
Ifølge Gøytil er to gode steder å starte Bugcrowd sitt Bugcrowd University og Hackerone sitt Hacker 101-program. Han nevner også at mange har hatt nytte av å delta i Capture The Flag-konkurranser (CTF) .
- Jeg spiller selv for det norske laget "bootplug". Gjennom tiden jeg har spilt med dem, har jeg lært veldig mange nye teknikker jeg har tatt inn i min bug bounty-hunting.