Het mengen van crowdsourcing en veiligheid te helpen hacken voor een goede: Bugcrowd

We horen vaak van de organisatie die zijn gehackt of hun veiligheid huiswerk voor hen gedaan. Spoedig daarna, toen de dader of good-guy hacker (die is vaak een professional zelf) wordt “gevangen”, toeschouwers schudden hun hoofd en vragen zich af waarom niemand hen ingehuurd om hun vaardigheden goed te benutten. Er zijn uitdagingen aan te doen, zoals vraagtekens bij de ethiek van deze hackers, het definiëren van de omvang van de systemen die zij mogen testen, en ervoor zorgen dat ze niet zomaar weglopen en verkopen hun exploits op ondergrondse markten.

Maar twee ondernemers en ex-security consultants, Casey Ellis en Serg Belokamen hebben gevonden wat ze denken is een manier om die liefde te kanaliseren voor knutselen in de goede richting. Founding Bugcrowd vorig jaar, de Australische startup combineert crowdsourcing met informatiebeveiliging, het verstrekken van bedrijven met een menigte van goed plan hackers om kwetsbaarheden te ontdekken voordat meer kwaadaardige types doen.

De hackers, aan de andere kant, doen wat ze het beste doen, en die de meest kritische bugs ontdekken betaald krijgen voor hun inspanningen, hetzij in geld van de klant ze gewoon opgeslagen en / of in de vorm van een pluim – een punten- gebaseerd systeem dat Bugcrowd heeft opgericht om hackers die in staat zijn om hun moed te bewijzen markeren.

Meer dan 1200 hackers hebben zich al aangemeld om een ​​deel van de menigte, en ze zijn niet per se script kiddies, hetzij. Het duo kon niet de namen van productieve hackers die graag deel te nemen delen, maar heeft aangegeven dat het kaliber van de gebruikers was hoog.

“Veel van de mensen die daadwerkelijk deelnemen en openbaarmaking inzendingen zijn testers per dag. Ze hebben ofwel kregen down time tijdens hun dagelijkse werk […] of ze doen dingen in het weekend omdat ze gewoon love it,” Ellis gezegd.

“Sommigen van hen zijn sprekers op congressen en bekende gepubliceerd onderzoek jongens, en ga zo maar door, dat is wel cool.”

Dat wil niet zeggen dat die nog aan het leren van de touwen niet Bugcrowd kunnen gebruiken als een hulpmiddel om potentiële werkgevers waartoe ze in staat zijn te laten zien. Ellis en Belokamen hopen dat de reputatie systeem wordt op een soortgelijke wijze als hoe veeleisende werkgevers die top ontwikkelaars gebruiken GitHub te bepalen of een potentieel huren daadwerkelijk bijdraagt ​​projecten en de gemeenschap te openen.

Voor bedrijven die hun systemen te testen, zijn er een aantal rode vlaggen verhoogd, vooral als potentieel bloot systemen (maximaal) duizenden hackers.

Ellis wijst op een belangrijke kwestie die omhoog heeft gebracht met zijn en Belokamen’s besprekingen met andere bedrijven runnen bug premies en, helaas, in veel rechtszaken – de intentie achter een verbinding is bijna onmogelijk om vast te stellen en aanvallen op systemen voor kwaadaardige doeleinden zien er precies hetzelfde als die van hackers die toe dat er niets te breken zijn.

Bugcrowd’s antwoord is om pijp al het verkeer door middel van haar eigen servers, waardoor de klant te onderscheiden wat verkeer is van de menigte, en wat is een externe aanval. Het betekent ook dat Ellis en Belokamen in staat zijn om een ​​oogje op iemand die misschien wel spelen tegen een door de klant vastgestelde regels, of belemmeren anderen doen hun baan te behouden. Een basisversie van het systeem, genaamd “Crowdcontrol,” beschikbaar is op het moment als Bugcrowd gaat door de beta-fase, maar hij en Belokamen hopen verdere kenmerken in de toekomst toe.

Een andere kwestie is of de hackers gewoon elke ontdekte exploits zal verkopen op de ondergrondse markten voor meer dan wat het bedrijf biedt in de beloning zwembad. Echter, Ellis en Belokamen zei dat een van de sterke punten van een grote menigte is dat, met zo veel andere testers te kijken naar de dezelfde applicatie, is het waarschijnlijk iemand anders zal vinden, en zodra de klant weet dat het bestaat, hoe lager de waarde van deze een exploit op ondergrondse markten.

Met behulp van een menigte verandert ook de manier waarop security testen worden betaald. Traditioneel, een organisatie kan een beveiligingsbedrijf betalen, bestaande uit een handvol penetratie testers, gecontracteerd voor een vast bedrag, ongeacht het advies. Echter, Bugcrowd’s model uitkomst-based, wat betekent dat als, om welke reden dan ook, geen of heel weinig zwakke plekken zijn te vinden en de beloning zwembad is niet uitgeput, de organisatie krijgt dat geld terug.

Tot nu toe heeft elke bounty dat Bugcrowd heeft uitvoeren van een kwetsbaarheid zero-day opgeleverd.

Innovatie;? M2M-markt stuitert terug in Brazilië, veiligheid, FBI arrestaties vermeende leden van Crackas With Attitude voor het hacken van de VS Gov’t ambtenaren, veiligheid, WordPress dringt er bij gebruikers in staat om nu te werken om kritieke gaten in de beveiliging vast te stellen; Veiligheid; Witte Huis benoemt eerste Federal Chief Information Security Officer

Organisaties zijn nog steeds van harte welkom om te gaan in de tegenovergestelde richting, echter, en bepalen wie kunnen toepassen op hun systeem op basis van Bugcrowd’s kudos-systeem te testen indien gewenst. Hoewel het eventuele problemen kunnen aanpakken organisaties kunnen via beginnende hackers leren op hun systemen hebben, Ellis en Belokamen zeiden dat het vaak een nieuw stel ogen die onverwachte ontdekkingen te doen.

Ellis en Belokamen hebben ook opengesteld Bugcrowd tot liefdadigheidsinstellingen, niet voor winst, en de winst voor het doel organisaties gratis. In deze gevallen Bugcrowd beheert de bug-jacht, en terwijl er geen beloning zwembad, zijn hackers steeds punten toegekend aan de opbouw van hun roem in de erkenning van hun inspanningen.

“Goede doelen krijgen gehackt de hele tijd, omdat ze niet het budget om app sec, die zuigt wel,” zei Ellis.

Ze doen goede dingen, en alles werkt heel goed voor iedereen.

Bugcrowd eigen systemen zal onvermijdelijk een doelwit geworden, maar om haar eigen hond te eten, zal het te testen ondergaan vanaf de hackers die deel uitmaken van de gemeenschap te vormen.

Hun idee kreeg de steun van niet alleen hackers en een aantal bedrijven, maar ook van de investeerders, die wedden op het succes Bugcrowd’s.

Bugcrowd was één van de acht startups aanvaard intake Startmate voor dit jaar, gaan tegen de honderden andere Australische startups die toegepast. Als onderdeel van het gaspedaal programma, zijn ze nu werken full-time-out van het Nationaal Centrum voor Innovatie in de Australische Technology Park, en in ongeveer twee maanden zal verhuizen naar San Francisco, Californië. Een demo-dag in de voorkant van onze eigen lokale investeerders, zal ook prep beide oprichters van de grotere spelers in Silicon Valley.

Om ze op hun voeten te krijgen, heeft Startmate al geïnjecteerd $ 50.000 in Bugcrowd in ruil voor 7,5 procent eigen vermogen. Startmate Alumini onder meer de inmiddels Walmart-verworven Grabble en ScriptRock, die opgeworpen AU $ 1.200.000 van investeerder en PayPal mede-oprichter Peter Thiel.

? M2M markt stuitert terug in Brazilië

FBI arrestaties vermeende leden van Crackas With Attitude voor het hacken van de VS Gov’t ambtenaren

WordPress dringt er bij gebruikers in staat om nu te werken om kritieke gaten in de beveiliging op te lossen

Witte Huis benoemt eerste Federal Chief Information Security Officer