28/04/2017

Jeszcze lepszy program bug bounty

Porady Projekt specjalny

Od chwili, gdy dołączyłem do zespołu Kaspersky Lab, minęło prawie dwa lata. Zauważyłem, że David Jacoby jest jedną z tych osób, które często wyjeżdżają i działają z pełnym zaangażowaniem. Oprócz tworzenia memów na temat bezpieczeństwa na Halloween pokazał również ludzkie oblicze zespołu GReAT, a nawet pozwolił nakręcić o sobie film (w stylu MTV).

Co więcej, Jacoby podniósł sobie poprzeczkę sam na tegorocznym spotkaniu Security Analyst Summit (SAS). Wszystko zaczęło się od tego oświadczenia zapowiadającego drugi dzień jego sesji:

„Mamy tyle pieniędzy w tej branży… mamy tyle pieniędzy, a robimy tak mało. Kiedy po raz ostatni zrobiłeś coś dobrego?”.

Wtedy postanowił wziąć udział w projekcie weekendowym: wraz z Fransem Rosénem (Detectify) mieli charytatywnie wyszukiwać luki. Początkowo zakładali zebranie kwoty 11 000 dolarów. Mimo że im się nie udało, odkryli coś bardzo interesującego.

„Było to całkiem fajne: kontaktowaliśmy się z firmami, które nigdy nie wzięłyby udziału w programie bug bounty , bo nie mają na to budżetu” — powiedział Jacoby. „Ale rozmawiałem z działami marketingu, które miały pieniądze i chciały udzielać się charytatywnie”.

Po tych rozmowach narodził się pomysł przeprowadzania 24-godzinnych testów penetracyjnych pro bono (pen) przez Jacoby’ego, Roséna i trzech innych badaczy. Zamiast pobierania opłaty badacze chcieli wpłacenia darowizny na wybrane przez firmę cele charytatywne.

„Każdy, z kim rozmawialiśmy, zgodził się na te warunki. To było niesamowite” — powiedział Rosén.

W przypadku szwedzkiego dostawcy internetu Bahnhof pomysł ten okazał naprawdę trafiony: teraz firma przelewa co miesiąc pieniądze na cele charytatywne w zamian za testy penetracyjne.

„To dowód na to, że ludzie chcą tak działać” — powiedział Jacoby.

Temat altruistycznego aspektu programu bug bounty pojawił się także w naszym zespole, dlatego zdecydowaliśmy się porozmawiać o nim z Jacobym.

Kaspersky Daily: Czy uważasz, że ten charytatywny aspekt natchnie większą liczbę białych kapeluszy do działania na rzecz dobra społecznego?

David Jacoby: Szczerze mówiąc, nie uważam, że zmieni to nastawienie ludzi do uczestnictwa w takich akcjach jak programy bug bounty. Jednak może to otworzyć drzwi na inne rodzaje partnerskiej współpracy pomiędzy producentami a organizacjami charytatywnymi czy firmami działającymi w obszarze zabezpieczeń, co w dłuższej perspektywie może przyciągnąć więcej ludzi.

Co więcej, czynienie dobra społecznego powinno być jednym z podstawowych elementów naszego życia. Mamy tylko jedno życie, dlaczego nie umilać go sobie nawzajem?

Kaspersky Daily: Powiedziałeś, że jedna firma chciała przeznaczyć te pieniądze na zapłacenie dzieciom za uczestnictwo w konferencjach poświęconych bezpieczeństwu. Czy myślisz, że taki program zachęcający młode osoby do zwracania uwagi na kwestie bezpieczeństwa sprawi, że pojawi się więcej białych kapeluszy i zwiększy się bezpieczeństwo na przykład Internetu Rzeczy?

David Jacoby: Mój stosunek do Internetu Rzeczy nie jest pozytywny, ponieważ większość takich urządzeń jest tworzona przez firmy, które działają w obszarze AGD czy rozrywki, a nie w branży IT. W związku z tym nie sądzę, aby to miało znaczenie.

Jeśli chodzi o konferencje na temat bezpieczeństwa, mam takie dziwne uczucie, że uczymy ludzi, którzy już działają w branży IT, a mimo to za ich uczestnictwo pobieramy sporo pieniędzy. Jeśli naprawdę chcemy zrobić różnicę, powinniśmy zaprosić na przykład studentów, którzy wkrótce staną się naszymi współpracownikami. Dlaczego uczyć ludzi, którzy już znają się na IT? To naprawdę nie ma sensu.

Kaspersky Daily: Czy według Ciebie dodanie elementu charytatywności do programu bug bounty zwiększy udział ludzi ogólnie w takich programach?

David Jacoby: Mam taką nadzieję. Chcę zmienić świat — a przynajmniej spróbować to zrobić. Moją wizją jest propagacja programów charytatywnych. Na przykład w Szwecji istnieją maszyny do recyklingu pustych puszek po napojach gazowanych itp. Mają one dwa przyciski, jeden „Donate” — umożliwiający przekazanie darowizny, a drugi służy do wypłaty należnych pieniędzy.

Jeśli chcę ofiarować pieniądze, to to zrobię. To samo dotyczy wielu innych rzeczy. Powinniśmy być kreatywni i wymyślić więcej takich pomysłów!