Bug bounty program a Magyar Telekomnál (x)

 ( hup | 2018. május 14., hétfő - 12:33 )

Rengeteg előnye lehet a közösségi tesztelésnek, a bug bounty programnak a hagyományos penetrációs tesztekkel szemben. De a bejelentések kezelésére fel kell készülni és a megfelelő folyamatokat még indulás előtt ki kell találni. Erről beszélt Hári Krisztián a HWSW infobiztonsági meetupján.

"A rengeteg jól sikerült vagy jól haladó projekt miatt él az emberekben egy olyan elképzelés, hogy az IT, a fejlesztés és üzemeltetés egy viszonylag jól összefogott, jól átlátható, jól irányított terület, ahol mindenre van hatásunk és mindenről tudunk mindent" - mondja Hári Krisztián a technológiai és kiberbiztonsági vezető a Magyar Telekomnál. A valóság ehhez képest más: egyszerre élhet minden, az ősi, jól bevált, 20 éves módszereink és rendszereink, és mellettük megvannak az új technikáink, a rengeteg új felhő (és felhős kapcsolat) és ezt az egészet próbáljuk valahogyan egyben kezelni. Ez jelentős komplexitást és egyenetlen fejlettségi szinteket hoz a cégen belül.

Új módszerek

A komplexitást sok szempontból kell és lehet kezelni, de az egyik komoly kihívást a biztonság jelenti. Vannak ehhez bevált, szabványos eszközök, például minősítések alapján építeni fel az üzemeltetési folyamatokat, az eredményeket pedig auditálni lehet. És vannak a technikai vizsgálatok - például a penetrációs tesztelés (penteszt), amely az informatikai rendszer biztonságát vizsgálja szimulált támadásokkal. "A penteszt hasznos és jól lehet használni" - mondja Hári, "de komoly korlátai is vannak". A penteszt vizsgálat akkor igazán hatékony, ha pontosan tudjuk, hogy mely rendszereket szeretnénk alaposabban átnézetni, és a teljes céget érintő átfogó tesztelés helyett sokkal hasznosabb, ha szűk területre fókuszálunk. A pentesztelés megrendelésénél arra is oda kell figyelni, hogy ne elégedjünk meg az "alacsonyan lógó gyümölcsök" leszedegetésével, hogy a triviális vagy könnyen felfedezhető hibákon túl a fontosabb (és komolyabb) problémákra is fény derülhessen.

"De mit tegyünk, ha nem szeretnénk időben, költségvetésben, elérhető szaktudásban kötöttségeket?" - teszi fel a kérdést a telekomos vezető. Ilyenkor érdemes elgondolkodni egy bug bounty programon. Ezzel sokkal szélesebb kompetencia-kör érhető el, egy penteszt-cégnél sem ért minden szakember mindenhez, míg a közösségi hibavadászatban nagyobb eséllyel szerepel olyan is, aki az adott rendszereket ismeri behatóbban. Szintén előny, hogy a hibavadászok immár egymással versenyeznek időben, az kap ugyanis elismerést (pénzbelit és szakmait) aki az adott biztonségi hibát elsőként jelenti be. A bug bounty azonban önkéntes tesztelők tömegeit szabadítja a rendszereinkre - a közösség maga fog foglakozni a hibák feltárásával, ezért alapos előkészítésnek kell megelőznie a program meghirdetését. " El kell gondolkozni azon, hogy mik lesznek a játék szabályai?" - fogalmaz Hári.

Alapvető kikötés, hogy továbbra is szimulált támadásokról van szó, tehát sikeres támadás esetén sem szabad adatot lemásolni, törölni, felülírni, a beállításokat vagy a szoftvereket módosítani. Azt is érdemes kikötni, hogy pontosan mire indítjuk el a bug bounty programot, mely rendszerek számítanak támadható célpontnak, és melyeket zárunk ki a programból. Ettől függetlenül minden hibajelentést kezelni kell, de a korlátok megállapításával mégis lehet fókuszáltan folytatni a közösségi hibakeresést.

Azt is le kell szögezni, hogy milyen formai-tartalmi feltételeknek kell megfelelnie a bejelentésnek. Itt nyilván az a cél, hogy az üzemeltető és fejlesztő csapat számára hasznos, értékes bejelentések érkezzenek, amelyek könnyen feldolgozhatóak, megismételhetőek, és cselekvéssé, javítássá konvertálhatóak. Így érdemes bekérni a reprodukálás lépéseit részletesen. És végül a legfontosabb: egyértelművé kell tenni, hogy aki a játékszabályok szerint játszik, azt nem érheti semmiféle retorzió - függetlenül attól, hogy a szimulált támadása sikeres volt-e. Tehát a program résztvevőit a "megrendelő" nem fogja feljelenteni, és nem tesz egyéb jogi lépéseket sem.

Számítson a befektetett munka!

A kizárásra is érdemes nagyon odafigyelni - néhányan (nem a Telekom) már járták meg, hogy automatizált eszközökkel lefuttatott tesztekre sok tízezer dollárt kellett feleslegesen kifizetniük, mivel bizonyos rendszereket és módszereket nem zártak ki a programból. Szerintünk érdemes kizárni a DoS-támadásokat (amelyek egyébként a "ne okozz kárt" kitételen is elbuknak), az amúgy veszélytelen alapinformációkat (például szoftververziót) szolgáltató találatokat, a social engineering típusú támadásokat, vagy épp a brute force jellegű töréseket - ezeket is kezeljük persze, de nem ennek a programnak a keretében akarunk ezzel foglakozni - mondja Hári.

A kizárás mellett tegyünk közzé egy olyan listát is, amire igenis kiváncsiak vagyunk: távoli kódfuttatást lehetővé tévő hibák, XSS-jellegű hibák, SQLi és code injection hibák, bejelentkezés átlépése (authentication bypass), és a legfontosabb, a felhasználó adatok szivárgása. Ezek olyan problémák, amelyekkel valódi, komoly hatása van, amivel komoly üzleti károkat lehet okozni - és ami mögött munka van. Az automatizált eszközökkel generált jelentések ebből a szempontból a legkevésbé érdekesek, ezeket a cég hatáskörben is le tudja futtatni vagy meg tudja rendelni külső féltől, a bug bountyt így érdemes más területre fókuszálni. Ez segít a közösségnek is eligazodni, hogy ha ezekre a hibákra koncentrál, akkor szinte biztosan honorálni fogjuk az erőfeszítését.

Erre fel kell készülni

A másik oldalon pedig erre a szervezetnek fel kell készülnie a bug bounty program megfelelő kezelésére. Ki kell jelölni a megfelelő csapatot, amely a bejelentéseket kezeli, a bejelentőkkel kommunikál, a hibákat validálja, reprodukálja, szervezeten belül kiosztja a javítás feladatát és végül ellenőrzi azt. Csak így lehet ugyanis garantálni, hogy a program sikeres lesz és a felfedezett hibákért nem csak a "fejpénzt" fizetjük ki, hanem valóban biztonságosabb infrastruktúrát is üzemeltetünk végül.

Érdekelne mindez belülről? Nézd át a Magyar Telekom állásajánlatait.

(A Magyar Telekom megbízásából készített anyag.)

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

A feljelentést hova rakják a folyamatábrába?

Gondolom közvetlenül a "szólok az indexnek" után. ;)

Ahha.. Előtte szólt a BKK-nka. De volt egy másik csóka is aki szólt a telekomnak, prezentálta is a hibát, majd csengettek a fakabátok érte... Végülis, ez is egy megoldás :)

És mennyit is vártak a BKK-s bejelentés és a full disclosure között? Nem emlékszem. (Tényleg nem, nem költői kérdés.)

A csengettek a fakabátok című sztori meg ne haragudjatok, de kb semmit nem jelent, nekem is volt már rendőrségi idézésem, ~1 órát töltöttem az örsön, kaptam róla egy igazolást hogy a főni ne tartson közveszélyes munkakerülőnek, aztán mindenki ment a dolgára.

nem mindegy? utána volt.

Nem, nem mindegy. Ugyanis ha fel oraval kesobb bekuldod az indexnek is, azt bajos lenne johiszemusegnek gondolni. Ha viszont eltelt kozben egy honap, akkor egesz mas a helyzet.

Időrendiség megvolt?

Oké, gondolatkísérlet:

"A full disclosure akkor etikus, ha a hiba bejelentése óta eltelt legalább X."

Ha x="1 másodperc", akkor már rendben van a dolog? Megvolt az időrendiség!

Szerintem Planck-időig jók vagyunk :)

Egyébként volt már veled olyan, hogy elismerted, ha tévedtél? :-)

---
Science for fun...

Csak ha tévedek :)

BKKCrypt esetén viszont szerintem nincs mire fel védeni őket.

Én az egyik srácról tudok [1], ő valamelyik BME-VIK csoportban kért tanácsot, mert (állítása szerint):
- semmi köze az IT securityhez, egy alap webfejlesztői tudással elő lehetett ezt hozni
- emlékeim szerint elég komoly adatokat ki tudtál szedni (plain text jelszó, név, lakcím, megadott okmányok adatai)
- a weboldalon semmilyen kontakt infó nem volt (ha jól emlékszem, napokig nem lehetett tudni, ki fejlesztette a rendszert)
- a srác többször hívta a BKK-t, ahonnan elküldték
- ...

Ha jól tudom, ez nem Project Zero szintű tudást igénylő törés volt. Kb. bárki, akit érdekelt, megtalálta ezt a hibát. Szerintem ebben a szituban nem tudott volna jobban dönteni, ha nem derül ki a sajtóba, akkor:
- sokkal többen regelnek az oldalra, így az ő személyes adataik is ott vannak
- a BKK/T legalább az azt követő hétvégére (péntek este volt az Index cikk), de leginkább a 30 napos majd kivizsgáljuk idejére nem csinál semmit.

[1]: Nem tudom, hogy ő írt-e az Indexnek (szerintem igen), vagy hogy őt vitték-e el a rendőrök (szerintem nem).

szerintem forditva, akit elvittek az valami kaposvari(?) teenager volt, el is mondta, hogy nem el Budapesten, poenbol nezett ra.

én is ezt mondtam (akartam), nem? :)

nemtommár, belezavarodtam xd

A gyors ellenőrzés első lépése lesz.

Palacsintat azert kuldenek a fogdaba ellentetelezeskent. Kevesebb macera, lapos, befer az ajto alatt. :)

Az igazság az, van utalás arra, hogy aki a „játékszabályok szerint játszik” azt nem fogják feljelenteni. Most már csak az kellene, hogy legyen egy játékszabályzat, ahol tételesen felsorolják a szabályokat. Néhányat ugyan megemlítenek, de arról nem tesznek említést, hogy ez az összes szabály. Tehát egy szabálygyűjtemény hiánypótló lenne.

peeeeeeeeeeeeersze :)

+1, a bizalmi index erősen megrogyott.

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

És fizet-e olyan jól mint a Valve?

azert az tegyük hozza h ez telekom, nem tsystem. persze lehet azon vitatkozni, h az ugyanaz vagy nem.

Ja, ha baj van, semmi közük egymáshoz, amúgy meg nagy cégocsoport öröm-happi-bodottá. Persze. Ez egy cég...

azert vannak ott kulonbsegek. en pl 15-18 eve aktivan dolgozom egyutt velük, es a telekom egy nagyságrenddel szimpibb ceg, kedvelem oket. nehez megfogalmazni, de valahogy atment bele a westel szellemisege, cegkulturaja vagy valami hasonlo. aztán ott az itsh ami meg megint nagyon mas. de oke, magenta, magenta.

Magyar Telekom és T-Systems nem csak egy cégcsoport, hanem előbbi tulajdonosa utóbbinak. Amivel "csak" egy cégcsoport a Telekom, az az ITSH.

Nagy cégeknél óhatatlan, hogy egyes diviziók, osztályok teljesen mások, már csak a cég mérete miatt is. De kifele attól még ez egy cég. Mikor elmész a shellbe tankolni, és szar volt, akkor se azt mondod, hogy azt a shell kutat üzemeltető xc kft votl szar, hanem a shell.

"15-18 eve aktivan dolgozom egyutt velük"

:DDDDDDD

Te most komolyan beleszamoltad a felvasarlas elotti Westel 900-as idoket is? Az egeszen mas hozzaallasu ceg volt, erosen mas vezetessel.

A T-Systems a Magyar Telekom egyik leányvállalata. Szóval papíron nem. Gyakorlatban gondolkozásmódban, vállalati kultúrában, stb. ugyanaz a cég.

Néha úgy sajnálom, hogy ide nem tolhatok be egy igazán beszédes animált GIF-et... Tudjátok, van az a bőrig ázott, duzzogva bosszút forraló macska az esőben, amelyik bámul be az ablakon a lakásba... :D

Kedves T csoport! Ezt nagy céges szinten elQrtátok. Nem kicsit, nagyon! Teljesen világos volt, hogy nem tudta a bal kéz mit csinál a jobb! A teljes brand megitta a levét, függetlenül attól, hogy konkrétan az az üzletág, vagy sem. Mostmár hiába mosakodtok, késő, és mindegy is már!

--
Where do you want to go today?
[nobody@salcay:~]$_

Ennyi. Ha valamit elrontok, altalaban en is hagyom a fenebe, meg sem probalok javitani a helyzeten, ugyis keso mar. (Nem.)

Addig üsd a vasat, amíg meleg! Ez már kihűlt. Mostmár eső után köpönyeg! Egy ilyen után ki az, aki ebbe belefogna pont velük?! Mintha a kaktusz akarna lufit ölelgetni! Ennek az ügynek azért elég széles körben híre ment, és meg is rogyott tőle egy picit a brand megítélése. Most eljátszák mennyire modern gondolkodásúak? Ezt azelőtt kellett volna, hogy elkezdtek befenyíteni. Utána már nem hiteles. Amikor látszott, hogy a keménykedésbe a brand belepusztulhat, hirtelen megváltozott a hangnem. Ez nem őszinte, egyetlen pillanatában sem. A kritikát még belül se nagyon tűrik, nem hogy kívülről!

A mai napig tudnék feltenni olyan kérdéseket T csoportos cégeknek, amire kényelemetlen lenne válaszolni, és nemkívánatos személlyé válik, aki rátapint arra a pontra.

--
Where do you want to go today?
[nobody@salcay:~]$_

Erre mondta mindig nagyapám, hogy vannak dolgok, amiket ha elb@szol, akkor azt már b@szhatod... Ezeknek biztos nem volt nagyapjuk, aki szóljon, hogy EZ egy olyan dolog...

Bezzeg ha a Microsoft kiad egy 4 soros batch fájlt nyílt forrásúként, egyébként meg megy minden tovább ugyanúgy, akkor "EZ MÁR EGY MÁSIK MICROSOFT" csatakiáltás hallatszik dobpergések mellett a szimpatizánsaitól.

Vagyis, van, akinek van esélye javítani, van akinek nincs?

--
trey @ gépház

Hiszem hogy mindenkinek van eselye javitani, a kerdes hogy lehet-e hinni neki.

Peldaul Kim Dzsongun is laza jofej csavova valt a vereskezu diktatorbol (a hirek szerint), kerdes hiszel-e annak aki korabban legvedelmi agyuval lovetett szet embereket es megolette a sajat testveret is.

Maradjunk az informatikánál szerintem. Ha a cég vezetését lecserélték, van esély a változásra?

Ebben az esetben (én nem nagyon követtem) volt vezetőcsere? Ha volt, lehet, hogy változásnak vagyunk szemtanúi?

--
trey @ gépház

az a baj ezzel, hogy ezt akkor kellett volna, amikor megtörtént a baj, de sajnálatos módon teljesen hülyén reagáltak és a mea cupla meg elmaradt - így viszont már kicsit hülyén jön ki, hogy kármentésileg bepróbálkoznak egy ilyennel, mintha nem történt volna semmi, vagy senki nem emlékezne az előzményekre... :)

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

A Microsoftnál 20 évet vártunk arra, hogy megkezdődjön a kármentesítés és a mai napig nem hallottam bocsánatkérést azokért a kijelentésekért, amikkel azt a közösséget degradálták, amelyikhez mostanában dörgölődznek.

--
trey @ gépház

A felvetésed jogos, de szerintem van különbség aközött hogy egy cég közösséget degradál és hogy az állam beviszi a script kiddie-t két HTTP POST-ért.

Állam <> Telekom

--
trey @ gépház

De ugye nem az állam találta ki magától, hogy be kell vinni a srácot, igaz? ;)

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

Ahogy hallottam, nem is a Telekom.

--
trey @ gépház

Tehát nem is a T egyik leányvállalata csinálta azt a foshalmazt a BKK-nak, amit egy random hülyegyerek (bocs) feltört, mert épp ráért?
Kezdek elveszni.

Figyeld az (X)-et a "cikk" címe végén!.. :)

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

Sosem érdekelt, hogy mi van a végén, de jöttök itt, hogy elvitte az állam szegíny etikus hekkert, meg egyéb baromságokkal, persze, hogy kiigazítja az ember. Így születnek a mondák, meg a kreált hősök.

--
trey @ gépház

én nem jöttem!.. :)

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

Kezdjük összemosni a dolgokat. Maszatolgatunk.

--
trey @ gépház

különben elülne a """társalgás"""

Ezt a dörgölőzést most _nagyon_ szekptikusan figyelem, és nagyon EEE szagot érzek, mert hát olyat is láttunk már! Canonical is a SuSE-ra hivatkozik, mint "siker" sztori. Hát nem tudom...

--
Where do you want to go today?
[nobody@salcay:~]$_

Eső után köpönyeg?
vagy csak mézesmadzag?
vagy csak a kutya sem akar "azok után" egy ilyen cégnek dolgozni? :D

De mit tegyünk, ha nem szeretnénk időben, költségvetésben, elérhető szaktudásban kötöttségeket?

dolgoztasd ingyen - rossz esetben börtönbüntetésért cserébe - a lelkes, naív szájbergyerekeket!

good luck!

--
zrubi.hu

"dolgoztasd ingyen - rossz esetben börtönbüntetésért cserébe - a lelkes, naív szájbergyerekeket!"

:D

azért annyit elé rakhattak volna, hogy "okulva a saját hibáinkból..."
csinálnak egy elcseszett alkalmazást, csókosok az államnál, utóbbi évek legnagyobb PR bakiját lenyomják
aztán meg jönnek osztani az észt, meg beállítják hogy ők találták fel a spanyolviaszt...

+1111111111111111

--
Where do you want to go today?
[nobody@salcay:~]$_

:D:D:D:D:D:D:D:D:D:D:D:D:D:D

.
--

ja, jelentsd fel a gyereket aki 1 forintért vett bérletet, aztán majd a TEK elviszi felakasztani lol...

--
GPLv3-as hozzászólás.

Nem szereted véletlenül a Meukow XO cognac-ot? :)

--
Where do you want to go today?
[nobody@salcay:~]$_