Son birkaç gün içinde, böcek ödül topluluğundaki akranlarımla üretken görüşmeler yapabildim. Patrik Triyaj ekibinde kim çalışıyor ve Luke Hackerone’den topluluk çabalarına öncülük eden. Patrik, yanlış anlamaların temizlenmesine yardımcı oldu ve Luke her zaman olduğu gibi duyarlı ve empatikti.
Bir muhabir olarak, hata ödül sürecine verimlilik katan bir triyaj sistemine erişime sahip olduğum için ayrıcalıklıyım. Bununla birlikte, diğer taraftaki ABD bilgisayar korsanlarının tam olarak anlayamayacağı triyaj söz konusu olduğunda bazı yanılgılar olduğu açıktır, çünkü gerçek şu ki, triyaj sürecinin ve sistemin çalıştığına dair çok az eğitim var.
Bu blog yazısında, bu yanılgıların bazılarını temizlemeye yardımcı olmak istiyorum, ancak aynı zamanda araştırmacı ile empati kurmaya daha fazla odaklanılmasını istediğim triyaj sürecinin doğal etkilerini de vurguluyorum.
Raporunuzun tetiklenmemesi durumunda, diğer taraftaki güvenlik ekibinin güvenlik raporunuzu görmeyebileceğini düşünebiliriz. Bu genellikle bilgisayar korsanlarının yaptığı bir yanılgıdır ve bana bir ekibe bildirilen herhangi bir güvenlik açığının, triyaj ekibinin sadece bu gelen kutusunun konuk kullanıcıları olduğu paylaşılan bir gelen kutusuna girdiği söylendi.
Triagers hala bir güvenlik ekipleri gelen kutusundaki teknik olarak konuk kullanıcılar olsa da, güvenlik açıklarının tedavisi üzerinde hala büyük bir etkiye sahipler. Birçok durumda, triyaj hizmetlerini kullanan güvenlik ekipleri, mümkünse gelen tüm raporlar için güvenlik açıklarının ciddiyetini değerlendirmek için triyaj ekibine güvenmektedir.
Deneyimlerime göre, çoğu zaman triager’ın belirlediği ciddiyet, güvenlik ekibi tarafından karar verilen son ciddiyet üzerinde büyük bir etkiye sahip. Birçok durumda, ciddiyet değişmez ve bazı durumlarda güvenlik ekibi şiddeti arttırır. Nadiren bir şiddetin bir triager tarafından çok yüksek işaretlendiği ve güvenlik ekibinin onu düşürdüğü bir zamanım oldu.
Triagers konuk kullanıcılar olmasına rağmen, güvenlik ekipleri genellikle potansiyel güvenlik açıklarını tetiklenene kadar araştırmayacaktır. Bu noktada, bir hacker olarak bir güvenlik sorununun bir güvenlik ekibi tarafından dikkate alınması gerektiğinden emin olduğunda inanılmaz derecede zorlaşıyor, ancak bir triager’ın farklı bir fikri var.
Yüzeyde, triagers sadece konuk kullanıcılar ve dolayısıyla kapı bekçileri değil gibi görünebilir, ancak triyaj dinamiklerini araştırdığınızda, triagers’ın etkisi ve sorumluluğu, güvenlik açıklarınızın araştırılıp araştırılmadığı konusunda çok fazla ağırlık tutar Güvenlik ekipleri tarafından, güvenlik ekibi tarafından ne kadar hızlı bir şekilde araştırıldığı ve ayrıca onların ödenme hızı ve miktarı.
CVSS bir canavar ve bunu iyi bir şekilde kastetmiyorum. Triagers’ın bana CVSS puanlamalarına saygı duymam gerektiğini ve bir kırılganlık hakkındaki kararımın yanlış olduğunu söyledim, çünkü “CVSS katı”.
Bununla birlikte, bir CVSS derecesi için gerekçeleri kazarken, bir şeyin puanlanma biçiminde anlaşmazlıklar bulmak genellikle kolaydır. Bu anlaşmazlıklarla ilgili sorun, bir ortam ile yüksek bir derecelendirme arasındaki farkın genellikle binlerce dolarlık bir fark olmasıdır. Platform güvenlik tarafında, rapor edilen bulgulara verilen yanıtın seviyesi ve etkinliği konusunda da büyük bir fark yaratabilir. Daha önce de belirttiğim gibi, güvenlik ekipleri zaman geçtikçe Triagers risk derecesine giderek daha fazla güven veriyorlar, derecelendirmeyi triat edildikten sonra lehinize ayarlarlarsa oldukça şanslısınız.
Triyaj sırasında daha fazlasını görmek istediğim şey, bir anlaşmazlık ortaya çıktığında CVSS’yi belirlemek için hacker ve Triager arasında işbirlikçi bir çaba. Bu sadece bilgisayar korsanları için daha iyi bir sonuca değil, aynı zamanda hata ödül programlarını çalıştıran güvenlik ekipleri için daha iyi ve daha tutarlı güvenlik sonuçlarına yol açar.
CVSS’nin doğası gereği, ABD’li bilgisayar korsanları ve hatta triagers bazen yanlış anlayacaklar, ancak bu anlaşmazlıkları ele alma şeklimiz, ilgili herkes için olumlu sonuçlar sağlamak için kesinlikle önemlidir. Triagers için, çok yüksek bir bulguyu tetiklemek ve güvenlik ekibi için yanlış bir alarm vermek konusunda haklı olarak temkinlidirler, bu nedenle biraz dikkatli olur. Bununla birlikte, bilgisayar korsanları ve güvenlik ekipleri için bunun bulgunun ele alınması üzerinde ciddi bir etkisi olabilir. Bilgisayar korsanları olarak, bulgularımıza çok fazla iş koyduğumuz için deneyimin etkili ve anlamlı olmasını istiyoruz.
Bazen, yetenekli bir triager bile güvenlik ekibi veya araştırmacı ile aynı bağlama sahip olmayacak (sistemi anlamak için çok zaman harcayan).
Son zamanlarda, kayar ödüllerle ilgili harika bir blog yazısı tarafından yayınlandı. Douglas Günü. Bu kavramın, süreçte daha doğru CVSS puanlamasını belirlemek için triagers’ın bilgisayar korsanlarıyla çalıştığı programlar tarafından yaygın olarak benimsenmesini çok isterim.
Tarihsel olarak, triagers ile olan en kötü deneyimlerim, rapordaki Triager’ın tutumu ve tavrıyla doğrudan ilişkilidir. Uzun zamandır bir programda hacklediğimde ve karşılığında, olumsuz tonlar, şüphe ve tutum yaşadığımda, Hata Bounty programına rapor verme deneyimi neredeyse benim için mahvoldu.
Bu sık sık olmaz, ama yaptığında gerçekten berbat. Triager, saatleri, bazen rapor için yapılan iş günlerini gerçekleştirme empatisine sahip değil gibi geliyor ve genel olarak hacker deneyimini korkunç bir şekilde bozuyor.
Eğer bir triager olsaydım, kibirden kaçınmak, şüpheden yararlanmak ve hacker ile risklere yaklaşmak için olumlu bir şekilde çalışmak için elimden geleni yapardım. Hiçbir şey, yanıtlarındaki tutumlarıyla belirtilen, sizden daha fazlasını bildiklerini düşünen bir triager tarafından bir raporun düşürülmesinden daha kötü bir şey değildir. Triager’ın en iyi çıkarlarıma sahip olduğunu hissetmek istiyorum, özellikle de iyi bir üne sahip yerleşik bir hacker olarak.
Bana bir şey ortaya çıkan bir şey, siber güvenlik endüstrisinde inanılmaz bir beceri boşluğu ve üçlü kıtlığın olduğu gerçeğiydi. Triagers genellikle sektöre giren genç personel olabilir.
Dürüst olmak gerekirse, böcek ödüllerinin siber güvenliğe giren insanlar için triyaj rolleri ile kariyerleri kolaylaştırması şaşırtıcı. Bu sektörde başlamanın ne kadar zor olduğunu biliyorum ve herhangi bir platformda genç triyaj personeli için sevgi, zaman ve empati dışında hiçbir şeyim yok.
Bir triager bir şeyleri yeniden üretemedikleri konusunda açık olduğunda asla üzülmüyorum ve her zaman profesyonelce bir şeyi yeniden üretme yardımıyla cevap veriyorum.
Aslında, size kötü davranan deneyimli triager ekibinden daha olumlu tutum, tavır ve zararlı olan bir genç triager ekibini tercih ederim.
Bu blog gönderisiyle, bunu okuyan herhangi bir triager, bilgisayar korsanlarının tavırlarını, daha fazla olmasa da, teknik yetenekleri takdir ettikleri kadar takdir ettiklerini anlayacaktır.
Bir programa rapor verdiğiniz güvenlik açığı bilgilendirici olarak işaretlenmiş veya kabul edilmemiş olsa da, güvenlik açığını izinsiz olarak ifşa etme hakkınız yoktur.
Açıklama izlerken alınacak en iyi yol, üzerinde çalıştığınız platformda resmi açıklama talebinden geçmek veya güvenlik ekibinden doğrudan rapor içinde ifşa etme hakkı istemektir.
Bir güvenlik ekibine karşı bir güvenlik açığı bildirdiğinizde, bu güvenlik açığı için fikri mülkiyetten vazgeçiyorsunuz ve artık teknik olarak artık sizin değil, açıklama hakkınız yok.
Bu hatayı son zamanlarda yaptım ve diğer bilgisayar korsanlarına, bu gerçekleşirse kamuya açıklanan bir şeyi indirme talebi ile arabuluculuk ekibinden bir uyarı alacağınızı açıklığa kavuşturmak istedim. Yanlış anlamalar meydana gelir ve bunu tanımak önemlidir, ancak kendinizi güvenlik açıklarını raporlama ve ifşa etmenin doğası konusunda daha fazla eğitmek de aynı derecede önemlidir.
Umarım bu blog yazısı bilgisayar korsanları için bazı yanılgıları temizler, ancak aynı zamanda bakış açımı bunu okurken üçlülere alır.
Bununla ilgili dürüst düşüncelerim, birbirlerine nezaket, saygı ve yanıtlarınızda olumsuz tonlar olmadan davrandığınız sürece, harika bir triyager olacaksınız ve hem bilgisayar korsanları hem de güvenlik ekipleri sizinle çalışmayı sevecekler .
Alçakgönüllülük burada çok önemli ve bir hacker olarak uygulamak için elimden geleni yapıyorum. Bir beceri boşluğunuz varsa, her zaman bulgularımı açıklamak ve gösterme sabrım olacak. Kararıma katılmıyorsanız, her zaman iyi kalpli bir tartışma yapmaya istekli olacağım. Ama lütfen, raporlara saygılı davranalım.