21 Temmuz 2021
Son birkaç gün içinde, böcek ödülü topluluğundaki akranlarımla verimli sohbetler yapabildim. Patrik Triyaj ekibinde kim çalışıyor ve Luka HackerOne’ın topluluk çabalarına liderlik eden kişi. Patrik yanlış anlamaların giderilmesine yardımcı oldu ve Luke her zaman olduğu gibi duyarlı ve empatik davrandı.
Bir muhabir olarak, hata tespit sürecine verimlilik katan bir önceliklendirme sistemine erişme ayrıcalığına sahibim. Ancak, triyaj söz konusu olduğunda, diğer taraftaki bilgisayar korsanlarının tam olarak anlayamayabileceği bazı yanlış anlamaların olduğu bana açık, çünkü gerçek şu ki, triyaj sürecinin ve sistemin uçtan uca nasıl çalıştığına dair çok az eğitim var.
Bu blog yazısında, bu yanlış anlamalardan bazılarının giderilmesine yardımcı olmak, aynı zamanda araştırmacıyla empati kurmaya daha fazla odaklanılmasını dilediğim triyaj sürecinin doğasında olan bazı sonuçların altını çizmek istiyorum.
Raporunuza öncelik verilmediği takdirde karşı taraftaki güvenlik ekibinin güvenlik raporunuzu göremeyeceği düşünülebilir. Bu genellikle bilgisayar korsanlarının yaptığı bir yanılgıdır ve bana, bir ekibe bildirilen herhangi bir güvenlik açığının, önceliklendirme ekibinin yalnızca o gelen kutusunun konuk kullanıcıları olduğu paylaşılan bir gelen kutusuna gittiği söylendi.
Tetikleyiciler teknik olarak hâlâ yalnızca güvenlik ekiplerinin gelen kutusundaki konuk kullanıcılar olsa da, güvenlik açıklarının ele alınması üzerinde hala büyük bir etkiye sahiptirler. Çoğu durumda, önceliklendirme hizmetlerini kullanan güvenlik ekipleri, mümkün olduğunca gelen tüm raporlardaki güvenlik açıklarının ciddiyetini değerlendirmek için önceliklendirme ekibine güvenmektedir.
Deneyimlerime göre, genellikle tetiklemenin belirlediği ciddiyet, güvenlik ekibi tarafından kararlaştırılan nihai ciddiyet üzerinde büyük bir etkiye sahiptir. Çoğu durumda ciddiyet değişmez, bazı durumlarda ise güvenlik ekibi ciddiyeti artırır. Şiddetin bir tetikleyici tarafından çok yüksek olarak işaretlendiği ve güvenlik ekibinin bunu düşürdüğü bir zamanı nadiren yaşadım.
Tetikleyiciler konuk kullanıcılar olsa da, güvenlik ekipleri genellikle potansiyel güvenlik açıklarını önceliklendirilinceye kadar araştırmaz. Bu noktada, bir bilgisayar korsanı olarak bir güvenlik sorununun bir güvenlik ekibi tarafından değerlendirilmesi gerektiğinden emin olduğunuzda, ancak tetikleyicinin farklı bir görüşü olduğunda, durum inanılmaz derecede zorlaşır.
İlk bakışta, tetikleyiciler yalnızca misafir kullanıcılar gibi görünebilir ve dolayısıyla kapı denetleyicileri değiller gibi görünebilir, ancak önceliklendirmenin dinamiklerini incelediğinizde, tetikleyicilerin etkisi ve sorumluluğu, güvenlik açıklarınızın araştırılıp araştırılmaması konusunda büyük önem taşır. güvenlik ekipleri tarafından ne kadar hızlı araştırıldığı, ödemelerin hızı ve tutarı gibi bilgiler de yer alıyor.
CVSS bir canavardır ve bunu iyi anlamda söylemiyorum. Tetikleyiciler bana CVSS puanlamalarına saygı duymam gerektiğini ve “CVSS katı” olduğundan güvenlik açığına ilişkin kararımın yanlış olduğunu söylediler.
Bununla birlikte, CVSS derecelendirmesinin gerekçelerini araştırırken, bir şeyin puanlanma biçimindeki anlaşmazlıkları bulmak genellikle kolaydır. Bu anlaşmazlıkların sorunu, orta ve yüksek derecelendirme arasındaki farkın genellikle binlerce dolarlık bir fark olmasıdır. Platform güvenliği açısından, rapor edilen bulgulara yönelik olay müdahalesinin düzeyi ve etkinliği açısından da büyük bir fark yaratabilir. Daha önce de belirttiğim gibi, güvenlik ekipleri zaman geçtikçe tetikleyicilerin risk derecelendirmesine giderek daha fazla güveniyor; önceliklendirildikten sonra derecelendirmeyi lehinize ayarlarlarsa oldukça şanslısınız.
Triyaj sırasında daha fazlasını görmek istediğim şey, bir anlaşmazlık ortaya çıktığında CVSS’yi belirlemek için bilgisayar korsanı ve triyajcı arasında ortak bir çabadır. Bu yalnızca bilgisayar korsanları için daha iyi sonuçlara yol açmakla kalmaz, aynı zamanda hata ödül programları çalıştıran güvenlik ekipleri için de daha iyi ve daha tutarlı güvenlik sonuçları sağlar.
CVSS’nin doğası gereği, biz bilgisayar korsanları ve hatta tetikleyiciler bazen yanlış anlayabiliriz, ancak bu anlaşmazlıkları ele alma şeklimiz, katılan herkes için olumlu sonuçlar elde etmenin anahtarıdır. Tetikleyiciler için, çok yüksek bir bulguyu tetiklemek ve güvenlik ekibine yanlış alarm vermek konusunda haklı olarak ihtiyatlı davranıyorlar, bu nedenle biraz dikkatli olmak anlaşılabilir. Ancak bilgisayar korsanları ve güvenlik ekipleri için bunun, bulgunun ele alınması üzerinde ciddi etkisi olabilir. Bilgisayar korsanları olarak bulgularımıza çok fazla emek harcadığımız için deneyimin etkili ve anlamlı olmasını istiyoruz.
Bazen yetenekli bir tetikleyici bile güvenlik ekibiyle veya (sistemi anlamak için çok zaman harcayan) araştırmacıyla aynı bağlama sahip olmayabilir.
Son zamanlarda, kayan ödüllerle ilgili harika bir blog yazısı yayınlandı. Douglas Günü. Bu konseptin, süreçte daha doğru CVSS puanlamasını belirlemek için tetikleyicilerin bilgisayar korsanlarıyla birlikte çalıştığı programlar tarafından geniş çapta benimsenmesini çok isterim.
Tarihsel olarak konuşursak, triyajlarla ilgili en kötü deneyimlerim, doğrudan rapordaki triyajcının tutumu ve tavrıyla ilgilidir. Uzun süredir bir programı hacklediğimde ve bunun karşılığında, tetikleyiciden olumsuz imalar, şüphe ve tavırlarla karşılaştığımda, hata ödül programına rapor verme deneyiminin tamamı benim için neredeyse anında mahvoldu.
Bu çok sık olmuyor ama olduğunda gerçekten berbat oluyor. Tetikleyicinin, rapor için harcanan saatlerce, bazen günlerce süren çalışmayı fark edecek empatiye sahip olmadığı anlaşılıyor ve genel olarak hacker deneyimini korkunç derecede kötüleştiriyor.
Eğer tetikleyici olsaydım, kibirden kaçınmak, şüpheden yararlanmak ve riskleri yaklaşık olarak tahmin etmek için bilgisayar korsanıyla olumlu bir şekilde çalışmak için elimden gelenin en iyisini yapardım. Hiçbir şey, yanıtlarındaki tutumlarından da anlaşılacağı üzere, sizden daha fazlasını bildiğini düşünen bir tetikleyici tarafından bir raporun reddedilmesinden daha kötü olamaz. Özellikle iyi bir üne sahip kendini kanıtlamış bir bilgisayar korsanı olarak, önceliklendirmenin benim çıkarlarımı gözettiğini hissetmek istiyorum.
Aklıma takılan şeylerden biri, siber güvenlik sektöründe inanılmaz bir beceri açığı ve tetikleyici sıkıntısı olduğu gerçeğiydi. Tetikleyiciler genellikle sektöre yeni giren kıdemsiz personel olabilir.
Dürüst olmak gerekirse, hata ödüllerinin, önceliklendirme rolleri aracılığıyla siber güvenliğe giren insanların kariyerlerini kolaylaştırmasının şaşırtıcı olduğunu düşünüyorum. Bu sektöre başlamanın ne kadar zor olduğunu biliyorum ve herhangi bir platformda genç triyaj personeline sevgi, zaman ve empatiden başka hiçbir şeyim yok.
Bir triyaj, bir şeyi yeniden üretememe konusunda açık sözlü olduğunda asla üzülmüyorum ve bir şeyi yeniden üretmek için her zaman profesyonel bir şekilde yardım alarak yanıt veriyorum.
Aslında, size kötü davranan deneyimli bir triyaj ekibi yerine, olumlu tavırları, tavırları ve zarafeti olan genç bir triyaj ekibini tercih ederim.
Bu blog yazısı ile, bunu okuyan tüm tetikleyicilerin, bilgisayar korsanlarının teknik becerilere değer verdikleri kadar, hatta daha fazla olmasa da, onların tavırlarına da değer verdiklerini anlayacağını umuyorum.
Bir programa bildirdiğiniz güvenlik açığı bilgilendirici olarak işaretlenmiş veya kabul edilmemiş olsa dahi, bu güvenlik açığını izinsiz olarak açıklama hakkınız yoktur.
Açıklamayı takip ederken izlenecek en iyi yol, üzerinde çalıştığınız platformdaki resmi açıklama talebinde bulunmak veya doğrudan güvenlik ekibinden rapor kapsamında açıklama yapma hakkını istemektir.
Bir güvenlik ekibine bir güvenlik açığını bildirdiğinizde, bu güvenlik açığına ilişkin fikri mülkiyetten vazgeçmiş olursunuz ve teknik olarak artık size ait olmadığı için bunu açıklama hakkınız da yoktur.
Bu hatayı yakın zamanda yaptım ve diğer bilgisayar korsanlarına, bunun gerçekleşmesi durumunda, arabuluculuk ekibinden, kamuya açıklanan herhangi bir şeyin kaldırılması yönünde bir talep içeren bir uyarı alacağınızı açıkça belirtmek istedim. Yanlış anlamalar olabilir ve bunu kabul etmek önemlidir, ancak güvenlik açıklarını raporlamanın ve ifşa etmenin doğası konusunda kendinizi daha fazla eğitmek de aynı derecede önemlidir.
Bu blog yazısının bilgisayar korsanları için bazı yanlış anlamaları gidereceğini umuyorum, aynı zamanda bunu okuyor olabilecek tetikleyicilere karşı bakış açımı da ortaya koyuyor.
Bu konudaki dürüst düşüncelerim, birbirinize nezaket ve saygıyla davrandığınız ve yanıtlarınızda olumsuz imalar taşımadığınız sürece harika bir tetikleyici olacaksınız ve hem bilgisayar korsanları hem de güvenlik ekipleri sizinle çalışmaktan keyif alacaklardır. .
Burada alçakgönüllülük çok önemli ve ben bir hacker olarak bunu en iyi şekilde uygulamaya çalışıyorum. Beceri açığınız varsa, bulgularımı açıklama ve gösterme sabrına her zaman sahip olacağım. Eğer benim kararıma katılmıyorsanız, her zaman iyi kalpli bir tartışma yapmaya hazır olacağım. Ama lütfen raporlarda birbirimize saygılı davranalım.