[Tech Thoughts] Bug bounties și hacking etic DICT într-o privire

Departamentul de Tehnologia Informației și Comunicațiilor a publicat pe 14 ianuarie circulara departamentală HRA-002, care a stabilit liniile directoare revizuite și consolidate, regulile și reglementările privind divulgarea vulnerabilităților și politica de refugiu sigur a țării și programul de recompense pentru descoperirea erorilor.

Secretarul DICT Henry Aguda a mers chiar la conferința de hacking Rootcon anul trecut în scopul promovării acestei evoluții, spunând că hackerii din țară ar trebui să își folosească abilitățile „pentru a proteja, nu pentru a distruge".

În acest scop, instituirea Politicii de Refugiu Sigur și a Programului de Recompense pentru Descoperirea Erorilor (SHPBBP) ar trebui să fie o veste bună pentru cei cu setul potrivit de abilități, deoarece încearcă să stimuleze divulgările responsabile de securitate cibernetică pentru serviciile guvernamentale.

Să vedem ce înseamnă toate acestea, mai ales dacă nu ați auzit de această evoluție.

Hackeri etici, recompense pentru erori și politici de refugiu sigur

Hacking-ul etic este procesul prin care un profesionist în securitate cibernetică, cunoscut și sub numele de hacker cu pălărie albă, identifică și ajută la remedierea vulnerabilităților în aplicații, sisteme sau tehnologii înainte ca acea vulnerabilitate să poată fi utilizată în mod rău intenționat de un hacker lipsit de etică, sau cu pălărie neagră.

Ca atare, hacking-ul etic simulează atacuri cibernetice din lumea reală pentru a evalua riscurile unui sistem, astfel încât sistemele respective să poată fi îmbunătățite sau consolidate din punct de vedere al securității.

Pentru a face hacking-ul etic recompensant pentru hackerii cu pălărie albă, programele de recompense pentru erori sunt structuri organizaționale înființate pentru a evalua și oferi compensații financiare pentru munca de descoperire și predare responsabilă a vulnerabilităților către persoanele care dezvoltă sistemele care au fost hackuite. Aceasta este pentru ca securitatea sistemelor respective să poată fi îmbunătățită.

Programele de recompense pentru erori vin adesea cu protecții pentru hackeri pentru a-și face treaba.

Aceste politici de refugiu sigur sunt concepute pentru a proteja hackerii cu pălărie albă sau cercetătorii în securitate de răspunderea administrativă, civilă sau penală în cazul în care descoperă ceva în procesul de vânătoare a erorilor, atâta timp cât își divulgă corect cercetarea conform specificațiilor unui program dat de recompense pentru erori.

Despre ce este circulara SHPBBP a DICT?

SHPBBP a DICT detaliază protecțiile și cerințele necesare pentru a participa la programul de recompense pentru erori al DICT.

Acum, s-ar putea să vă întrebați dacă oricine poate participa la o recompensă pentru erori.

În scopurile circularei DICT, trebuie să fiți, cel puțin, cercetător profesionist în securitate cibernetică pentru a participa. De asemenea, trebuie să vă înregistrați prin intermediul unei proceduri Know Your Contributor (KYC) pentru a fi eligibil să primiți recompense dintr-o recompensă pentru erori.

În mod specific, circulara a spus că se aplică următorilor:

• Toate agențiile guvernamentale naționale din cadrul Puterii Executive, inclusiv Corporațiile Deținute și Controlate de Guvern și filialele acestora, Instituțiile Financiare Guvernamentale și Universitățile și Colegiile de Stat, inclusiv cele din domeniul *.gov.ph și platformele gestionate de DICT;
• Congresul filipinez, Sistemul Judiciar, Comisiile Constituționale Independente, Biroul Ombudsmanului și Unitățile de Administrație Locală sunt încurajate cu tărie să adopte această Circulară;
• Entități private înscrise voluntar în cadrul Programului de Parteneriat Public-Privat pentru Securitate Cibernetică al DICT;
• Operatorii Infrastructurii Critice de Informații (CII), așa cum sunt identificați în cadrul Planului Național de Securitate Cibernetică (NCSP); și
• Cercetători în Securitate Cibernetică care sunt responsabili pentru identificarea și analiza amenințărilor potențiale la rețeaua și sistemele unei organizații.

Protecțiile de refugiu sigur se vor aplica, între timp, numai dacă sunteți un cercetător în securitate care testează doar sistemele declarate în domeniul de aplicare al recompenselor pentru erori; nu comiteți niciun fel de exfiltrare, alterare sau întrerupere neautorizată a datelor; raportați vulnerabilitățile în mod responsabil și privat către DICT sau entitatea autorizată; și păstrați descoperirile private și nu le divulgați până când problema pe care ați descoperit-o a fost rezolvată sau vi s-a permis să o discutați public.

Cum funcționează toate acestea?

S-ar putea să fiți curios cum funcționează acest lucru în practică, deci iată cum s-ar desfășura în general.

Un cercetător în securitate aplică pentru a se alătura inițiativei DICT prin procedura Know Your Customer menționată mai sus. Aceștia trebuie să finalizeze întregul proces și să fie acceptați pentru a fi eligibili pentru recompense în numerar. Conflictele de interese — de exemplu, personalul DICT și furnizorii de servicii terți angajați de DICT — descalifică potențialii candidați de la participarea la aceste recompense pentru erori.

Programul de recompense pentru erori va avea recompensele sale stabilite de entitățile participante, și anume agențiile guvernamentale care au nevoie de ajutor sau partenerii guvernamentali care doresc să stabilească o recompensă proprie. Finanțarea pentru a face această circulară să funcționeze „va fi imputată pe bugetul existent al agenției sau instituției acoperite și pe alte surse de finanțare adecvate pe care Departamentul Bugetului și Managementului le poate identifica, în conformitate cu legile, regulile și reglementările relevante".

Aceste recompense — inclusiv ce site-uri sau servicii și ce aspecte ale respectivelor site-uri și servicii necesită testare — sunt listate pe un portal al programului de divulgare a vulnerabilităților (VDPP), un site web dedicat vânătorii erorilor și raportării acestora. Acesta este găzduit și întreținut de biroul de securitate cibernetică al DICT.

Erorile și problemele raportate corect către VDPP pot intra în patru scenarii de securitate posibile, de la Critic, Ridicat, Mediu și Scăzut, cu plăți potențiale bazate pe tarifele din industrie în funcție de rapoarte și gravitatea acestora.

Biroul de securitate cibernetică al DICT va valida rapoartele și va oferi celor cu rapoarte validate „certificat/recunoaștere adecvată pentru contribuția cercetătorului la raportarea și/sau
rezolvarea vulnerabilității validate". Entitățile participante din sectorul privat, după coordonarea cu biroul de securitate cibernetică al DICT, pot oferi recompense monetare sau stimulente adecvate bazate pe mecanismele de stimulente structurate detaliate în VDPP.

Pe lângă recompensele monetare, există și statutul implicat, deoarece divulgările responsabile primesc ceva timp în atenția guvernului. Recompensele includ certificate digitale și tipărite, recunoaștere publică pe VDPP și includere în alte citații DICT, conform circularei.

O evoluție mult necesară

Un program național de recompense pentru erori cu reguli definite pentru implicarea în proces este o veste bună și o evoluție mult necesară în spațiul securității cibernetice, deoarece ar trebui să ajute la stimularea hacking-ului etic pe termen lung, în timp ce îmbunătățește sistemele guvernamentale în prezent.

Dacă sunteți un profesionist în securitate cibernetică în curs de dezvoltare, aceasta poate fi o modalitate bună de a intra în industrie, atâta timp cât știți ce faceți și faceți munca necesară pentru divulgări responsabile.

Consultați circulara legată aici pentru detalii și implicați-vă. Ați putea ajuta la îmbunătățirea securității guvernamentale împotriva unor oameni răi. – Rappler.com