Etusivu: Kyberturvallisuuskeskus
Siirry hakuun

Vinkkejä valkohatuille parempaan ja helpompaan yhteistyöhön

Tietoturva Nyt!

Moni valkohattu voi pettyä, kun ei saakaan vastausta haavoittuvuusilmoitukseensa. Yrityksistä, joiden tuotteiden turvallisuuspuutteista on kyse, saa helposti välinpitämättömän kuvan. Tietoturvailmoitustaan voi kuitenkin parantaa mahdollisimman selkeällä raportoinnilla. Tässä vinkkimme valkohatuille parempaan yhteistyöhön.

""

Vastuullisessa tietoturvahaavoittuvuuksien tutkimisessa ja ilmoittamisessa on omat periaatteensa. Laillisuus, haitan rajoittaminen, kansantajuisuus, bug bounty -ohjelmat ja kärsivällisyys pitävät sekä valkohatut että ilmoitusten vastaanottajat tyytyväisinä. 

Avoin ovi ei anna lupaa kävellä sisään 

Jos et ole saanut lupaa järjestelmän testaukseen tai sen käyttöön, kirjautumisyritykset palveluun tai porttiskannailut voidaan tulkita tietomurtoyrityksiksi. Esimerkiksi yrityksen www-ylläpitoon kirjautuminen voidaan tulkita tietomurroksi, vaikka sisään olisi menty admin:admin-tunnusparilla. 

Tuotteen tai palvelun testaamislupa voidaan ilmaista esimerkiksi yritysten bug bounty –ohjelmissa tai yhteystietosivuilla olevissa haavoittuvuuskoordinaation pelisäännöissä. Lupaa voi kysyä myös suoraan yrityksestä.

Rajoita haittaa

Jos löydät palvelusta esimerkiksi keinon suorittaa antamiasi komentoja, tee minimitestaus, jolla voit todentaa löydöksesi. Tietokantaa ei saa kaataa tai palvelinta tuhota.

Jos taas löydät tavan lukea muiden käyttäjien tietoja, ota muutama esimerkki talteen ilmoitusta varten. Älä kopioi koko tietokantaa tai asiakasrekisteriä itsellesi.

Tällaiset toimintatavat osoittavat, että toimit vastuullisesti. Kuulostat myös vähemmän uhkaavalta, jos et aloita yhteydenpitoa kertomalla, että hallussasi on yrityksen koko asiakasrekisteri.

Ilmaise löytösi vaikutus kansantajuisesti

Vaikka sinulle olisi ilmiselvää, miksi löytämäsi pre-auth rce tai stored xss ovat vakavia tietoturvaongelmia, jotka pitää korjata heti, kokonaisuus tuskin avautuu esimerkiksi asiakaspalvelijalle tai vaikkapa kaupunginhallitukselle.

Jos käytät automatisoituja tietoturvaskannereita, pidä huoli että ymmärrät, mitä löydös todella tarkoittaa ja mitä tietoturva-aukon hyödyntämiseen vaaditaan. Onko esimerkiksi HEAD-verbin salliminen www-palvelussa tietoturvaongelma vai onko kyse hygieniasta?

Selkiytä viestiäsi niin, että omat vanhempasikin ymmärtäisivät sen. 

Vertaa:

  • Löysin teidän palauteformista stored xss:n. korjatkaa asap.
  • Palautelomakkeen avulla on mahdollista syöttää mitä tahansa väärennetyä sisältöä sivuillenne tai kaapata ylläpitäjien selaimet haltuunsa. Tässä esimerkki siitä, miten voitte toistaa ongelman.

Meille Kyberturvallisuuskeskuksessa toki riittää lyhyempikin viesti. Osaamme kääntää tietoturvakielen asianomaisille sopivaksi, mutta yksityiskohtaisempi ilmoitus helpottaa työtämme ja vähentää edestakaista asioiden tarkastamista.

Bug bounty -ohjelmat

Helpoin tapa varmistaa lupa käyttää ja testata yrityksen järjestelmiä, on etsiä kohde julkisista bug bounty -ohjelmista. 

Suurilla ICT-organisaatioilla, kuten Google, Microsoft, Apple ja Facebook, on omat bug bounty -ohjelmansa. Toiset taas käyttävät bug bounty -alustoja, kuten HackerOnea tai Bugcrowdia (katso taulukko ).

Ohjelmat sisältävät tarkat ohjeet siitä, mikä on sallittua (in scope) ja mikä ei (out of scope). Lisäksi on määritelty eri ongelmakategorioita, jotka yritystä eniten kiinnostaa.

Muista, että huolellisesti tehty raportti poikii parempaa yhteistyötä ja nopeuttaa viestintää.

Ole kärsivällinen

Jos kyseessä on suosittu palvelu, korjaus tai tuotantoon vienti kestää kauan, vaikka kyseessä ei olisikaan teknisesti vaativa muutos.

Yritysten päätöksenteko ja korjaustoimet eivät tapahdu hetkessä vaan yrityksen omien prosessien mukaisesti. Kun tähän varautuu, on helpompi suhtautua siihen, ettei korjaus yleensä tapahdu päivissä.

 

Valkohatun muistilista

  • Tarkista tekosi laillisuus. Onko lupa annettu suoraan, välillisesti vai ei ollenkaan?
  • Rajoita haittaa kohteelle tai sen käyttäjille: muutaman tietokantakyselyn ajaminen vs tietokannan tyhjennys.
  • Ilmaise löytösi vaikutus kansantajuisesti: kaikki eivät ole tietoturvaihmisiä.
  • Harkitse bug bounty -ohjelmien kautta toimimista: selkeät säännöt ja palkkiot.
  • Ole kärsivällinen: maailmaa ei pelasteta päivässä.
  • Muista meidät! Kyberturvallisuuskeskus auttaa koordinaatiossa.

Kyberturvallisuuskeskus palvelee

Autamme mielellämme valkohattuja ja yrityksiä löytämään toisensa. Meidän kauttamme voit ilmoittaa sekä haavoittuvuuksista että muista tietoturvapoikkeamista.

Eri alojen asiantuntijaverkostomme on laaja. Kauttamme tavoitat muun muassa energiateollisuuden ja teleoperaattori-alan asiantuntijoita. Tarvittaessa löydämme nopeasti oikeat avainhenkilöt, joille viesti tulee välittää.

 

Yleisimmät bug bounty -ohjelmat ja -palkkiot

Lue myös muut Valkohattuhakkerit-sarjan jutut:

Tuore valkohattu Toni Ruhanen löysi tietoturvaongelmia julkisista palveluista alkuvuonna 2019. Kyberturvallisuuskeskuksen avulla Tonin löydökset saatiin palveluista vastaavien tietoon.
Toni Ruhanen ja muut valkohatut kuuluvat hyvisjengiin

Tietoturvaongelmista ilmoittavaa valkohattuhakkeria ei tarvitse säikähtää. Lue vinkkimme sujuvaan yhteistyöhön ja jatkotoimiin.
"Palveluistanne löytyi tietoturva-aukko" (Ulkoinen linkki)

Bug bounty -ohjelma on helppo tapa saada keskitetysti tietoa omien järjestelmien ja palveluiden mahdollisista tietoturvapuutteista. Yritykselle ohjelma voi antaa mahdollisuuden todelliseen avoimuuteen ja suunnannäyttäjän asemaan.
Bug Bounty -ohjelmien avulla tietoturvaongelmat voi kääntää PR-voitoiksi  (Ulkoinen linkki)

Riskienhallinnan perusperiaatteiden ymmärtäminen on tärkeää yrityksille ja hyödyllistä myös valkohatuille. 
Riskienhallinnan (hyvin) lyhyt oppimäärä (Ulkoinen linkki)