Connect with us

Technologie

Relever le défi des primes à mendier

Published

on


Imaginez la scène : vous êtes au travail et vous obtenez une notification au sujet d’une vulnérabilité que vous avez apparemment à traiter de toute urgence. Agissez-vous maintenant, déléguez-vous à un analyste ou laissez-le pour plus tard?

Si c’est ce dernier, il s’agit de savoir quelle est la grave vulnérabilité. Vous vérifiez d’où il vient et quel est le problème. C’est à ce moment-là que vous vous rendez compte que c’est juste le résultat de quelqu’un qui scanne votre réseau, vous informant de ce qu’ils ont trouvé, et demandant à être payé une prime bug pour cela.

Bienvenue à ce qui a été déterminé « la prime mendier ». Loin d’être une arnaque, ces e-mails sont souvent destinés aux entreprises où le chercheur a fait un simple scan pour les erreurs de base ou les vulnérabilités, suivie d’une coupe et coller des résultats dans un modèle de messagerie prédéfini.

Chester Wisniewski, chercheur principal à Sophos, le souligne dans un récent blogue, les qualifiant de « divulgations éthiques qui partagent toutes les informations nécessaires et laissent entendre qu’il pourrait être agréable que vous leur envoyiez une récompense ». Toutefois, il y a des cas où elle peut frôler « l’extorsion limite, exigeant le paiement sans même fournir suffisamment d’informations pour déterminer la validité de la demande ».

Wisniewski dit que ce type d’approche peut généralement demander un paiement de 150 $ à 2000 $ par bogue, selon la gravité. Toutefois, ses recherches ont permis de déterminer qu’aucune des vulnérabilités qu’il a étudiées n’était digne d’un paiement.

« Si vous recevez l’un de ces courriels, il vaut la peine d’être pris au sérieux, car vous avez probablement une très mauvaise posture de sécurité, mais vous ne devriez pas vous engager auprès de la personne qui sollicite votre entreprise », dit-il. « Communiquez avec une entreprise locale digne de confiance pour évaluer vos faiblesses en matière de sécurité, une entreprise qui peut travailler avec vous pour donner la priorité et améliorer votre situation en matière de sécurité. »

L’expérience du CISO

Quentyn Taylor, director of information security for ‎Canon Europe, has faced a number of reports and requests for payment for disclosure.

Il affirme qu’il y a trois catégories de personnes qui signalent des vulnérabilités. Le premier type trouve quelque chose et le signale. Le second, le chercheur professionnel qui a trouvé une vulnérabilité, lit le programme de divulgation et vous concluez un accord avec eux pour qu’ils divulguent publiquement en vertu de votre programme de divulgation de vulnérabilité.

« Cette [second type] est très utile et les gens le font comme une ligne de touche pour faire de l’argent, et il ya d’excellents exemples de celui-ci et c’est un très bon service », dit Taylor.

Toutefois, la troisième classe est ceux qui cherchent des primes mendier, et ont généralement trouvé « un bug bas de gamme qu’ils scannent sur l’échelle ». Les exemples typiques sont les erreurs de configuration du DMARC et du FPS. « Ils scannent pour elle, disent qu’ils ont trouvé une vulnérabilité grave et voudrait un peu d’argent pour elle, dit Taylor.

Il répondait souvent à la question de savoir si le chercheur avait lu les termes du programme de divulgation de la vulnérabilité, soulignant que ce que la personne trouvait n’avait pas sa portée ou dans sa région.

« Nous n’avons pas eu un mauvais, nous avons eu beaucoup de bons contacts sur SPF et DKIM et ils n’ont pas été des problèmes graves, généralement juste dire merci et tout est fait, dit-il. « Cependant, d’autres disent qu’ils l’ont trouvé, puis demander: « Quand allez-vous le rafistoler et quand allez-vous me payer? »

Taylor soupçonne la plupart des chercheurs de ce type passent du temps dans les forums en ligne, générer des e-mails et de soumettre les notifications « dans l’espoir d’être payé ». Il dit qu’ils exécutent généralement un scanner à travers votre infrastructure, ajoutant: « Je me souviens quand il était impoli de le faire, et maintenant ils considèrent que cela vous fait une faveur. »

Est-ce que l’on s’inquiète ici du fait qu’il ne s’agit là que d’une nuisance et d’une ponction sur le temps et les ressources? Taylor convient que c’est le cas, en disant que pour cinq ou six rapports que vous obtenez, vous pouvez obtenir un qui est vraiment bon et que vous devez examiner.

« C’est un bruit dont vous pouvez vous passer », dit-il. « Les gens vous martèlent avec un message qui semble menaçant, mais quand vous regardez la question, il est mineur. Plus la vulnérabilité est grave, plus le chercheur est sérieux.

Du point de vue du chercheur

Taylor affirme que le nombre de personnes qui n’ont pas lu le programme de divulgation de la vulnérabilité est « vertigineux » et que ce sont « seuls les professionnels qui l’ont lu ». Du point de vue du courtier en primes aux bogues, comment les chercheurs sont-ils sensibilisés à ce type de divulgation?

Laurie Mercer, ingénieur en sécurité chez HackerOne, affirme que son entreprise a des lignes directrices claires sur ce qui est récompensé et ce qui ne l’est pas, et qu’il y a « une portée claire sur les vulnérabilités acceptées et ce qui est payé ».

En ce qui concerne la soumission d’une prime mendiante, Mercer dit qu’il ya deux problèmes principaux: d’abord est la confiance et kmaintenant qui soumet la vulnérabilité elle-même, et le second est lié aux compétences, car il voit un problème avec l’utilisation de scanners automatisés pour trouver des vulnérabilités – comme pour réclamer une prime bug devrait démontrer un certain niveau de compétence technique.

Toutefois, Mercer tient à souligner que « les pirates ne créent pas de problèmes, ils font surface des problèmes qui sont déjà là ». HackerOne Rapport hacker 2020 a constaté que près des deux tiers des pirates disent qu’ils ont trouvé des bugs et ont choisi de ne pas les signaler à l’organisation, avec 38% des pirates ont dit que cela était dû à « un langage juridique menaçant » posté sur le site web de l’organisation concernant la découverte de vulnérabilités potentielles. En outre, 15% ont dit que l’entreprise ne répondait pas aux rapports de bogues précédents.

Mercer affirme que la raison pour laquelle les entreprises exécutent des programmes de divulgation de vulnérabilité « est de trouver les vulnérabilités que l’entreprise ne peut pas se trouver ». Par conséquent, les entreprises programme de divulgation des vulnérabilités pour déterminer les catégories de bogues qu’ils paient, et si le chercheur fournit quelque chose qui est identifié comme ne faisant pas partie d’un programme de primes de bogues, l’entreprise n’envisagera pas de payer des frais pour cela.

« Toute problème grave viendra par un canal professionnel comme HackerOne », dit Mercer.

S’occuper de la question

Les recherches de HackerOne ont découvert que 85% des pirates piratent pendant moins de 40 heures par semaine, seulement 18% piratent à temps plein, et 40% des pirates consacrent 20 heures ou plus par semaine à la recherche de vulnérabilités.

Comment les OICS et les entreprises peuvent-ils s’occuper de cette question? Canon’s Taylor dit que l’éducation est nécessaire pour mieux comprendre que les divulgations injustifiées n’obtiennent pas toujours un paiement. « Ce n’est pas contre les chasseurs professionnels de primes bug, comme certains chasseurs de primes bug sont très bons et de travailler sur la façon dont cela fonctionne, mais les gens à l’extrémité inférieure veulent faire un dollar rapide », dit-il.

Mercer affirme qu’après avoir travaillé avec des entreprises, des organismes de réglementation et des gouvernements, il existe un processus sur la façon de divulguer les notifications de bogues, car les plaintes d’un CISO sont généralement qu’elles ont été présentées contre leur préférence. « Si vous mettez en œuvre un programme de divulgation des vulnérabilités, il indiquera au chercheur s’il est accepté et si vous payez des primes de bogues », ajoute-t-il.

Il semble que la solution réside dans la formule de ce programme et de la politique publique, et si vous informez ces chasseurs d’insectes en herbe sur ce qui est dans la portée et payé, alors cette question de chancing mendier chasseurs de primes est réduite.

Click to comment

Leave a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Tendance