bug bounty vuosi takana

Vuosi Bug Bounty -ohjelmaa takana

Reilu vuosi on vierähtänyt siitä, kun käynnistimme Bug Bounty -ohjelmamme. Nyt on oiva hetki katsoa miten vuosi on sujunut.

Kiviä vai soraa?

Usein uusilla innovatiivisilla tavoilla toimia ja tehdä asioita on kivinen alku, mutta tässä tapauksessa voisin sanoa että tiellämme oli lähinnä vaan soraa. Piti vain vakuuttaa toimitusjohtaja ja hallitus siitä, että Bug Bountyyn kannattaa lähteä mukaan. Helpommin sanottu kuin tehty, mutta onnistumisen jälkeen sanoisin, että se oli helppoa. Alkutöiden, kuten erilaisten politiikkojen luomisen, jälkeen käynnistettiin ohjelma ja siitä alkoikin jännitys.

bug bounty fear

“Mitähän ne löytää!?!?!”

Tosiasia on, että harvassa ovat ne hakkerit jotka löytävät haavoittuvuuksia, kuten esimerkkimme tässä blogissa, joten syytä pelkoon ei ehkä ole siinä määrin mitä itselläni ainakin alkuun oli. Kaksi erittäin vakavaa haavoittuvuutta kyllä löytyi, mutta olemme erittäin tyytyväisiä löydöksiin sekä siihen, että saimme ne korjattua nopeasti.

Millaisella porukalla ohjelmaa pyöritetään?

Sovimme, että minä kutsun hakkereita ohjelmaamme ja keskustelen heidän kanssaan. Pyrin pitämään tiivistä yhteyttä hakkereiden kanssa. Lisäksi otan vastaan kaikki ilmoitetut bugit, tarkastan onko bugi duplikaatti vai ei, näyttääkö se todelliselta ja kuuluuko ohjelmamme piiriin. Mikäli bugi kuuluu ohjelmaamme, ohjaan sen yhdelle alla esitellyistä kolmesta tuoteomistajasta.

Ilari Jakobsson Saima   Ilari Jakobsson, Saima HR

Tero Alhokorpi M2   Tero Alhokorpi, Visma M2

Turo Heinonen Tiima   Turo Heinonen, Visma Tiima

Tuoteomistajamme ovat vastuussa oman tuotteensa tietoturvallisuudesta, joten he vastaavat myös bugeista. Tämän lisäksi olemme kutsuneet ohjelmaan kaikki devaajamme, jotta he näkevät bugit ja saavat ilmoituksen mahdollisista löydöksistä. Tarjoamme heille siis eturivin paikan nähdä miten hakkeri on löytänyt heidän vastuullaan olevasta järjestelmästä haavoittuvuuden.

Alussa maksoimme hakkerille palkkion kun bugi oli korjattu. Nyt maksamme bugin löytäjälle heti, kun bugi on vahvistettu. Tämän jälkeen merkitsemme bugin tilaan Triaged, kunnes bugi on korjattu ja suljettu. Bugin sulkemisesta hakkeri saa tiettyjä pisteitä, joilla hyvät hakkerit erotetaan aloittelevista tai sellaisista, joiden raportit ovat yleensä lähinnä vain lievimmästä päästä.

Mitä seuraavaksi?

Tivi-lehti on valitsi eilen (23.11.) yhdessä asiantuntijaraadin kanssa vuoden kyberteoksi Bug Bounty -toiminnan Suomessa. Palkinnon saivat lisäksemme LähiTapiola ja Verohallinto. Tämä vahvistaa uskoamme siitä, että olemme oikealla tiellä. Lue lisää palkinnosta täältä.

Bug Bounty -ohjelmaa on tavoitteena jatkaa niin pitkään kuin koemme sen olevan hyödyllistä. Mielestämme se on erittäin hyvä tapa löytää haavoittuvuuksia järjestelmistämme; siis sellaisia, joita automaattiset skannerit eivät löydä.

Matkaan on mahtunut hyviä muistoja, uskomattomia bugeja ja yksi upea hetki. Tämä oli silloin, kun eräs hakkeri kertoi, että kiitos meidän hänen lapsensa pääsee laadukkaamman opetuksen piiriin. Kyseinen henkilö on kotoisin maasta, jossa meille kenties pienellä summalla (noin $1 500) saa lapsensa merkittävästi parempaan kouluun.

Kiitos kaikille hakkereille meidän ohjelmassa. Keep up the good work!

Joakim Tauren työskentelee tietoturvapäällikkönä Visma Enterprisella. Vapaa-aikana hänet saattaa tavoittaa kurvailemasta Segwayllä tai etsimässä bugeja muiden järjestelmistä.
Connect with Joakim: