Een bug bounty-programma wordt aangeboden door veel organisaties en softwareontwikkelaars. Het doel van zo’n programma is om met de kennis van ethische hackers kwetsbaarheden (oftewel bugs) op te sporen in online applicaties. Als er iets wordt gevonden, betaalt het bedrijf een vergoeding aan de ethische hacker.
Wat is Responsible Disclosure (RD)?
Met een RD-policy op je website geef je als organisatie een ethische hacker de mogelijkheid gevonden kwetsbaarheden te delen. In de RD-policy zet je de regels voor zowel het bedrijf als de ethische hacker. Het bedrijf laat hiermee bijvoorbeeld weten de ethische hacker niet aan te klagen en op de hoogte te houden van de vorderingen in het oplossen van een kwetsbaarheid. Met het opzetten van een bug bounty-programma ga je nog een stapje verder. Je gaat dan ook een beloning toekennen aan hetgeen een ethische hacker via Responsible Disclosure meldt.
Zelf een Responsible Disclosure-policy op je site plaatsen? Hiervoor kun je dit voorbeeld gebruiken https://responsibledisclosure.nl/en/.
Waarom een bug bounty-programma inrichten?
Bij Responsible Disclosure wordt de ethische hacker niet betaald. Organisaties kiezen er vaak voor een bug bounty-programma in te zetten als ze veel data te beschermen hebben en de gevolgen van een hack groot kunnen zijn. Deze organisaties willen het écht graag weten als er een kwetsbaarheid wordt gevonden. Dan kunnen zij met een bug bounty-programma profiteren van een groot netwerk van ethische hackers en daarmee dataverlies en reputatieschade voorkomen. Organisaties die kiezen voor een bug bounty-programma kunnen dit doen door zich aan te melden bij een bug bounty-platform zoals HackerOne of Bugcrowd. Ze kunnen daar de hoogte van de bounties per gevonden kwetsbaarheid opgeven.
Wat zijn de voordelen van een RD-policy of bug bounty-programma?
Dit zijn de voordelen:
- Effectief bij het vinden van kwetsbaarheden
Het inzetten van een bug bounty-programma kan een heel effectief middel zijn om kwetsbaarheden in je IT-infrastructuur te ontdekken. - Inzetbaar bij korte development cycles
Omdat development cycles van applicaties tegenwoordig veel korter zijn en nieuwe releases elkaar sneller opvolgen, is het lastig altijd een volledige security-test uit te voeren. De testen die je uitvoert zijn bovendien een momentopname want er kan de volgende dag weer een nieuwe versie zijn. Het inzetten van een bug bounty-programma kan dan een prima manier zijn om toch snel belangrijke kwetsbaarheden te vinden. - Kostenbesparend
Er zijn ook organisaties die ervoor kiezen bij nieuwe releases alleen te vertrouwen op hun responsible disclosure-policy of bug bounty-programma om daarmee op testkosten te besparen. Het is daarbij echter maar afwachten of er kwetsbaarheden gerapporteerd worden.
Wat zijn de nadelen van een RD-policy of bug bounty-programma?
Dit zijn de nadelen:
- Kost veel tijd
Een responsible disclosure-policy of bug bounty-programma runnen kost veel tijd. Ethische hackers die een kwetsbaarheid melden, verwachten binnen afzienbare tijd een reactie, vaak binnen 48 uur. Dit valt soms lastig te combineren met andere werkzaamheden. Het is dan ook erg belangrijk je organisatie hierop in te richten voor je een bug bounty-programma start. - De kwaliteit van de meldingen varieert
Het niveau van de ethische hackers en de meldingen die ze doen, varieert behoorlijk. Daar komt bij dat je ook niet weet hoe grondig ethische hackers onderzoek hebben gedaan en hoeveel ethische hackers je applicatie onderzocht hebben. - Discussie met ethische hackers
Er ontstaat wel eens een discussie met een ethische hacker over wat wel en geen kwetsbaarheid is. Bovendien zijn sommige kwetsbaarheden een geaccepteerd risico, maar de melder ziet dit mogelijk anders. - Geen concreet antwoord op je security-vraag
Als we bij Computest een security-test uitvoeren, ligt daar altijd een concrete vraag aan ten grondslag. Bijvoorbeeld: kan een gebruiker gratis betaalde content zien? Deze gerichtheid ontbreekt bij een bug bounty-programma. Het is dus maar afwachten welke kwetsbaarheden gerapporteerd worden. Ook krijg je geen melding bij positieve resultaten, omdat de ethische hacker daar niet voor wordt betaald. Bij Computest adviseren we dan ook om een bug bounty-programma altijd te combineren met regelmatige security-tests.
Kun je als ethische hacker veel verdienen met bug bounties?
Er zijn ethische hackers die miljonair zijn geworden met bug bounties. Toch zijn dat de uitzonderingen. De bounties die ethische hackers in de praktijk ontvangen, variëren meestal tussen de 100 en 1000 euro per bug. De allergrootste bedrijven zoals Apple betalen wel fors meer. Zo verhoogde Apple de maximale vergoeding voor het vinden van belangrijke iOS-bugs eind 2019 naar 1 miljoen dollar.
Verreweg de meeste ethische hackers doen echter aan bug bounty hunting als kleine bijverdienste. Vooral ethische hackers die kwetsbaarheden het snelst melden, zijn hierbij succesvol. Soms hebben zijn hier geautomatiseerde processen voor ingericht. Daardoor zijn ze meteen op de hoogte als er bijvoorbeeld een nieuwe versie van een website wordt uitgebracht en gaan ze er vaak met de bounties vandoor.