[Tech Thoughts] DICT's bug bounty's en ethisch hacken in één oogopslag

Het Department of Information and Communications Technology heeft op 14 januari departementscirculaire HRA-002 uitgebracht, waarin de herziene en geconsolideerde richtlijnen, regels en voorschriften zijn vastgelegd voor kwetsbaarheidsopenbaarmaking en het safe harbor-beleid en bug bounty-programma van het land.

DICT-secretaris Henry Aguda ging vorig jaar zelfs naar de Rootcon-hackingconferentie om deze ontwikkeling te promoten en zei dat de hackers van het land hun vaardigheden moeten gebruiken "om te beschermen, niet om te vernietigen."

Met dat doel zou de invoering van het Safe Harbor Policy and Bug Bounty Program (SHPBBP) een welkom bericht moeten zijn voor degenen met de juiste vaardigheden, aangezien het verantwoordelijke cybersecurityopenbaarmaking voor overheidsdiensten probeert te stimuleren.

Laten we eens kijken wat dit allemaal betekent, vooral als je nog niet van deze ontwikkeling hebt gehoord.

Ethische hackers, bug bounties en safe harbor-beleid

Ethisch hacken is het proces waarbij een cybersecurityprofessional, ook wel bekend als een white-hat hacker, kwetsbaarheden in apps, systemen of technologieën identificeert en helpt oplossen voordat die kwetsbaarheid kwaadwillig kan worden gebruikt door een onethische, of black-hat, hacker.

Als zodanig simuleert ethisch hacken echte cyberaanvallen om de risico's van een systeem te beoordelen, zodat de betreffende systemen kunnen worden verbeterd of anderszins versterkt in beveiliging.

Om ethisch hacken lonend te maken voor white-hat hackers, zijn bug bounty-programma's organisatorische structuren die zijn opgezet om financiële compensatie te beoordelen en aan te bieden voor het werk van het ontdekken en verantwoordelijk overdragen van kwetsbaarheden aan de mensen die de systemen ontwikkelen die zijn gehackt. Dit is zodat de beveiliging van genoemde systemen kan worden verbeterd.

Bug bounty-programma's komen vaak met bescherming voor hackers om hun werk te doen.

Deze safe harbor-beleidsregels zijn ontworpen om white-hat hackers of beveiligingsonderzoekers te beschermen tegen administratieve, civiele of strafrechtelijke aansprakelijkheid mochten ze iets vinden tijdens het opsporen van bugs, zolang ze hun onderzoek op de juiste manier bekendmaken volgens de specificaties van een bepaald bug bounty-programma.

Waar gaat de SHPBBP-circulaire van DICT over?

Het SHPBBP van het DICT schetst de bescherming en vereisten die nodig zijn om deel te nemen aan het bug bounty-programma van DICT.

Nu vraag je je misschien af of iedereen kan deelnemen aan een bug bounty.

Voor de doeleinden van de circulaire van DICT moet je op zijn minst een professionele cybersecurityonderzoeker zijn om deel te nemen. Je moet jezelf ook registreren onder een Know Your Contributor (KYC)-procedure om zelfs maar in aanmerking te komen voor een beloning uit een bug bounty.

Specifiek zei de circulaire echter dat het van toepassing is op het volgende:

• Alle nationale overheidsinstanties onder de uitvoerende macht, inclusief staatsbedrijven en hun dochterondernemingen, overheidsfinancieringsinstellingen en staatsuniversiteiten en -hogescholen, inclusief die onder het *.gov.ph-domein en DICT-beheerde platforms;
• Het Filipijnse Congres, de rechterlijke macht, onafhankelijke grondwettelijke commissies, het kantoor van de Ombudsman en lokale overheidseenheden worden ten zeerste aangemoedigd om deze circulaire over te nemen;
• Private entiteiten die vrijwillig zijn ingeschreven onder het Public-Private Cybersecurity Partnership Program van DICT;
• Exploitanten van kritieke informatie-infrastructuur (CII), zoals geïdentificeerd onder het National Cybersecurity Plan (NCSP); en
• Cybersecurityonderzoekers die verantwoordelijk zijn voor het identificeren en analyseren van potentiële bedreigingen voor het netwerk en de systemen van een organisatie.

Safe harbor-bescherming is ondertussen alleen van toepassing als je een beveiligingsonderzoeker bent die alleen de systemen test die binnen het bereik van bug bounties zijn aangegeven; je pleegt geen enkele vorm van ongeautoriseerde data-exfiltratie, wijziging of serviceonderbreking; je meldt kwetsbaarheden verantwoordelijk en privé aan het DICT of de geautoriseerde entiteit; en je houdt je bevindingen privé en maakt ze niet openbaar totdat het probleem dat je hebt gevonden is opgelost of je toestemming hebt gekregen om het publiekelijk te bespreken.

Hoe werkt het allemaal?

Je bent misschien nieuwsgierig hoe dit in de praktijk werkt, dus hier is hoe het over het algemeen zou verlopen.

Een beveiligingsonderzoeker solliciteert om deel te nemen aan het initiatief van DICT via de hierboven genoemde Know Your Customer-procedure. Ze moeten het hele proces voltooien en geaccepteerd worden om in aanmerking te komen voor geldelijke beloningen. Belangenconflicten — bijvoorbeeld DICT-personeel en externe serviceproviders die door DICT zijn ingeschakeld — diskwalificeren potentiële aanvragers van deelname aan deze bug bounties.

Het bug bounty-programma zal zijn bounties laten vaststellen door deelnemende entiteiten, namelijk de overheidsinstanties die hulp nodig hebben, of overheidspartners die een eigen bounty willen instellen. Financiering om deze circulaire te laten werken "wordt ten laste gebracht van het bestaande budget van de gedekte instantie of instelling, en dergelijke andere geschikte financieringsbronnen zoals het Department of Budget and Management kan identificeren, onderworpen aan relevante wetten, regels en voorschriften."

Deze bounties — inclusief welke sites of diensten en welke aspecten van die genoemde sites en diensten moeten worden getest — worden vermeld op een vulnerability disclosure program portal (VDPP), een website die is gewijd aan het opsporen van de bugs en het rapporteren ervan. Dit wordt gehost en onderhouden door het cybersecuritybureau van DICT.

Bugs en problemen die correct zijn gerapporteerd aan het VDPP kunnen onder vier mogelijke beveiligingsscenario's vallen, variërend van Critical, High, Medium en Low, met potentiële uitbetalingen op basis van branchetarieven, afhankelijk van de rapporten en hun ernst.

Het cybersecuritybureau van DICT zal de rapporten valideren en zal degenen met gevalideerde rapporten "een passend certificaat/erkenning geven voor de bijdrage van de onderzoeker aan het rapporteren en/of
oplossen van de gevalideerde kwetsbaarheid." Deelnemende entiteiten uit de particuliere sector kunnen, na coördinatie met het cybersecuritybureau van DICT, passende geldelijke beloningen of prikkels geven op basis van de gestructureerde prikkelmechanismen die in het VDPP worden beschreven.

Naast geldelijke beloningen is er ook de status die betrokken is, aangezien verantwoordelijke openbaarmaking enige tijd in de overheidsschijnwerpers krijgt. Beloningen omvatten digitale en gedrukte certificaten, publieke erkenning op het VDPP en opname in andere DICT-citaten, volgens de circulaire.

Een broodnodige ontwikkeling

Een nationaal bug bounty-programma met gedefinieerde regels voor deelname aan het proces is goed nieuws en een broodnodige ontwikkeling in de cybersecurityruimte, omdat het ethisch hacken op de lange termijn zou moeten helpen stimuleren terwijl overheidssystemen nu worden verbeterd.

Als je een opkomende cybersecurityprofessional bent, kan dit een goede manier zijn om de industrie binnen te komen, zolang je maar weet wat je doet en het werk doet dat nodig is voor verantwoordelijke openbaarmaking.

Bekijk de hier gekoppelde circulaire voor details en doe mee. Je zou kunnen helpen de overheidsbeveiliging te verbeteren tegen slechte mensen. – Rappler.com