Come attirare gli hacker?

7

Contribuisco a un progetto open source e installiamo un banco di prova per i test di sicurezza. Vogliamo iniziare una sfida per trovare difetti di sicurezza e la mia domanda è: come possiamo attirare gli hacker per partecipare?

Come deve essere progettata la sfida (ad eccezione di una pagina web che spiega perché e come)?

C'è un budget molto limitato (~ 1000 $) e potremmo fare magliette e amp; qualche malloppo, ma non c'è spazio per pagare i premi.

Modifica1: Ciò di cui abbiamo bisogno / bisogno è il feedback di tutti coloro che hanno trovato un difetto, non solo le persone che battono i loro strumenti sulle applicazioni web.

    
posta that guy from over there 23.08.2013 - 07:34
fonte

2 risposte

8

Ci sono molti modi per farlo:

In primo luogo, i premi monetari sono un grande incentivo, ma se non puoi permetterteli dovrai fornire loro altri tipi di ricompense. Penso che creare una pagina speciale sul tuo sito / applicazione e creare un elenco di persone famose che hanno riscontrato vulnerabilità.

Raccomando anche di prendere in considerazione l'esecuzione di una gara CTF e di includere sezioni della funzionalità dell'applicazione nel CTF (o semplicemente fare il CTF su chi può trovare il maggior numero di buchi nella tua applicazione reale). Quando hai un elenco di vincitori, pubblicali pubblicamente e mantienili in modo che le persone possano fare riferimento in un secondo momento.

Se decidi di fare una di queste cose, assicurati di pubblicizzarlo e di dettagliare le tue intenzioni / il risultato desiderato, come suggerisce Evan, pubblicarlo su una mailing list di sicurezza potrebbe aiutarti ad attirare l'attenzione.

Ma come dice Terry, se lo costruisci, alla fine qualcuno verrà e cercherà di romperlo comunque a prescindere!

    
risposta data 23.08.2013 - 08:16
fonte
1

Bruce Schneier ha detto una volta che i cittadini hanno segnalato attività sospette: "se ti affidi agli investigatori dilettanti, non sorprenderti quando ottieni la sicurezza amatoriale". Quindi, la sicurezza è importante per il tuo progetto o non lo è.

Ci sono alcune cose che puoi fare per cercare un aiuto professionale. Usa gli strumenti di analisi del codice statico professionale per andare oltre il tuo codice base. Coverity offre la scansione gratuita dei progetti open source, quindi usali. Trova un capitolo locale di OWASP e vedi se hanno membri disposti a donare tempo. Verifica con un college o una scuola con cui il tuo team di progetto potrebbe avere un'affiliazione, in quanto potrebbero avere una classe di sicurezza interessata alla sfida.

Una sfida pubblica senza incentivi non produrrà un livello realistico di fiducia nella sicurezza del tuo progetto. Se il tuo progetto è prezioso, lo devi ai tuoi futuri clienti per prenderlo sul serio adesso.

    
risposta data 26.08.2013 - 05:29
fonte

Leggi altre domande sui tag