Quali misure di sicurezza avere prima di consentire apertamente ai ricercatori di sicurezza di hackerare il tuo sito

Naviga le tue risposte
6

Come una sorta di follow-up dalla mia domanda precedente - che è stata richiesta dal ricercatore della sicurezza / punto di vista del tester di penetrazione:

(Grazie a Rory McCune per averlo indicato ) Sembra che ci sia un numero di siti di alto profilo come Facebook e Google che sembrano consentire apertamente ai ricercatori di sicurezza di tentare di hackerare il loro sito, a patto che questi rivelino i risultati in modo responsabile. A prima vista, sembra un'idea generalmente buona. Perché assumere persone per eseguire i test di penetrazione se alcuni sono disposti a farlo gratuitamente? (e i cattivi lo faranno se lo chiedi o no).

Tuttavia, quali misure dovrebbero avere un sito già in essere prima di intraprendere un progetto apparentemente rischioso? (o forse mi sbaglio e non è più rischioso se non fai questo invito attivamente). Non sono particolarmente interessato agli aspetti legali o come gestire questi rapporti , ma piuttosto al lato tecnico delle cose . La stessa logica potrebbe applicarsi alle applicazioni o ai siti Web di piccole dimensioni come ai grandi? Ad esempio, pubblicare una dichiarazione del genere potrebbe mettere a rischio il tuo sito piuttosto che lasciarlo fuori?

    
posta Yoav Aner 02.04.2012 - 22:56
fonte

2 risposte

5

Devi tenere a mente siti come Google, Yahoo, Amazon hanno un paio (di migliaia) di server. Possono permettersi di "aprire le porte" a tutti perché, come ha sottolineato M15K, le loro risorse non sono limitate.

Ci sono un paio di motivi per cui potrebbero essere "aperti":  1. È possibile raccogliere statistiche sul rendimento.  2. È possibile testare il sistema per la stabilità (se il server X si arresta, il server Y deve subentrare, ecc.)  3. Probabilmente molte altre ragioni a cui non riesco a pensare.

Nelle piccole / medie / grandi aziende di solito finisci per usare server Linux / Unix, Apache, Nginx, LigHTTP, Jetty, MySQL, PostgreSQL, Oracle ed ecc. Siti come Google (gigante) creano la loro piattaforma e il loro software soluzioni - server web, database, server di inoltro proxy ed ecc. Quindi lasciare "la porta aperta" al pubblico li aiuta effettivamente a migliorare costantemente la sicurezza e le piattaforme perché ogni "hacker" del mondo cercherà di abbatterli. Alcuni di loro avranno successo e di solito finiscono per lavorare per l'azienda o ricevere un numero soddisfacente nei loro conti bancari:)

Secondo me non è sicuro per te "aprire" tutto se la società per cui lavori non sta creando la maggior parte delle soluzioni software da zero (server web, database e qualsiasi altra cosa la tua azienda abbia bisogno). Anche in questo caso è un po 'rischioso soprattutto se gestisci dati sensibili.

i.e. could publishing such a statement put your site at more risk than leaving it out?
Non importa se dici "Non ti denunceremo se ci dirai dove si trova la violazione". Se qualcuno vuole hackerarti, proverà a farlo se la dichiarazione è presente o meno. Ma se è lì potrebbe sembrare che tu li stia invitando. Quindi probabilmente avrai più hacker che tentano di hackerare il tuo server.

However, what measures should a site already have in place before embarking on such seemingly risky endeavor?
Dovrai trovare un meccanismo di registrazione o monitorare le azioni che vengono fatte sul sito e sul server. Anche un backup completo del sito / server è un must.

In generale non consiglierei di lasciare il server "aperto", specialmente se gestisce informazioni sensibili come carte di credito, pagamenti, informazioni mediche per i pazienti e così via. È meglio per te assumere un gruppo di hacker con un contratto adeguato. Altrimenti rischi di mettere tutte queste informazioni in pubblico.

Non posso entrare più nel dettaglio in quanto questo argomento è ENORME e ci sono molte cose che devi considerare prima di passare a "pubblico":

  1. Hai i soldi per farlo?
  2. Hai le risorse? (server, team di sicurezza e così via)
  3. Fino a che punto puoi limitare i danni che un hacker può arrecare al tuo sistema? OSSIA Se un hacker accede al tuo server, quale accesso avrà? Sarà in grado di connettersi al database e recuperare / memorizzare / aggiornare i dati? I tuoi dati sono criptati? Sarà in grado di decifrarlo? (e così via)
  4. Il tuo team di sicurezza può scoprire in che modo un hacker ha sfruttato il tuo sistema?
  5. Il tuo team di sicurezza ha le competenze per risolvere i problemi che potrebbero verificarsi?
  6. Probabilmente molte altre domande che devi chiedere e rispondere prima di decidere.
risposta data 03.04.2012 - 02:30
fonte
3

Credo che questa sia una domanda o una pratica fatta meglio una volta che hai accuratamente controllato il tuo sito con le tue pratiche interne. Ricorda, ciò che è buono per Facebook e Google potrebbe non essere buono per te.

Hanno sistemi ridondanti e possono permettersi di abbassare un sistema per un po ', sono addirittura integrati nel loro piano di continuità aziendale. Potrei azzardare a indovinare che la maggior parte delle altre aziende che hanno i loro server web in crash sono tutte mani sul mazzo.

Non riesco a immaginare molti scenari positivi nel dichiarare che l'open season sulla porta di casa porterà a qualcosa di utile. Ma diciamo che lo fai, e ottieni un feedback positivo. Siete voi e il vostro team di sicurezza in grado di porre rimedio a tali vulnerabilità?

    
risposta data 02.04.2012 - 23:10
fonte

Leggi altre domande sui tag

Permessi daemon e Webroot HTTP Il portale della scuola dei miei figli è in violazione di qualsiasi regola Password / ID utente?