Virksomheden Billy’s Billing stod over for en udfordring: Dens cloud-baserede regnskabsprogram gemte på adskillige virksomheders fortrolige oplysninger, men udviklerne var i tvivl om, hvor sikre oplysningerne var over for eventuelle hackerangreb.
Den første indskydelse, som blev diskuteret i virksomheden, var at ansætte en sikkerhedsekspert, men den tanke blev hurtigt skubbet væk:
»Det virkede ikke så let at gå i gang med. Det var noget af en showstopper at skulle hyre et team af sikkerhedseksperter. Du betaler måske 100.000 kr., og så er du ikke sikker på at få noget ud af det,« siger teknologichef og medstifter af Billy’s Billing, Sebastian Seilund til Version2.
Han valgte i stedet en alternativ løsning, der endte med at koste firmaet lige omkring 4.000 kr. i alt, og som hjalp Billy’s Billing med at lokalisere og lukke omkring 10 sikkerhedshuller.
Løsningen bestod i at lade en hær af white hat-hackere fra hele verden gå til angreb på virksomhedens platform i forsøget på at finde sikkerhedsbrister. Hver gang en hacker rapporterede et hul tilbage til virksomheden, fik vedkommende en dusør alt efter, hvor alvorlig bristen var.
Trend blandt mindre virksomheder
Fænomenet med at crowdsource it-sikkerheden og benytte sig af dusørprogrammer er som sådan ikke nyt – store virksomheder som Google og Facebook har begge officielle programmer – men nu er også de mindre virksomheder ved at komme med på vognen.
»Det er en meget tydelig trend,« siger professor i it-sikkerhed ved DTU, Lars Ramkilde Knudsen og uddyber:
»Det er en god måde for virksomheder at demonstrere, at deres service er sikker.«
Det har virksomheden CrowdCurity forstået at udnytte. Bag firmaet står fire danske fyre, der har bygget deres eget netværk op af mere end 1500 hackere, som de nu tilbyder andre virksomheder, som for eksempel Billy’s Billing, at benytte sig af.
»Når man ikke er Google eller Facebook, er det urealistisk at kunne sætte programmer op med dygtige testere selv. Så uden CrowdCurity var det nok ikke noget, vi havde forfulgt,« siger Sebastian Seilund.
Hackere har mere kreativitet og fantasi
CrowdCurity’s hackere, eller sikkerhedstestere om man vil, kommer fra hele verden, og flere af dem er blevet rekrutteret direkte fra de større virksomheders dusørprogrammer.
Hackerne benytter sig af alverdens metoder lige fra cross-site scripting (XSS) til brute force-angreb, når de forsøger at lirke sig ind i virksomhederne. Og der er en klar fordel ved at vælge hackere frem for dyre sikkerhedskonsulenter ifølge Lars Ramkilde Knudsen:
»Den her metode er mere hands-on og real-life. Hackerne er altid en smule foran anti-hackerne – de har kreativiteten og fantasien til at prøve noget nyt,« siger han.
Og hvis virksomhederne er nervøse for at invitere en flok hackere inden for, så kan man i det mindste berolige sig med, at der ikke bliver videregivet fortrolige oplysninger, som kan misbruges ifølge CrowdCurity.
»Det er jo klart, at man inviterer folk til at se på ens virksomhed, men hvis man var en ondsindet hacker, ville det være en dårlig idé at gå igennem vores platform,« siger CrowdCurity’s adm. direktør og medstifter, Jacob Hansen.
Han pointerer desuden, at hvis en sikkerhedstester skulle opdage et sikkerhedshul og vælge at fortie det med skumle hensigter, så risikerer vedkommende, at de andre testere kommer ham i forkøbet og napper dusøren for næsen af ham
Før sikkerhedstesterne kan få deres dusør udbetalt, skal de desuden igennem et baggrundstjek af både navn og adresse. Og man kan som virksomhed også vurdere hackernes kvalitet ud fra anmeldelser af deres tidligere arbejde.
»Det er lidt det samme som AirBnB. I starten spurgte folk også, hvorfor jeg skal have en fremmed hjem i sofaen, men nu rater man hinanden, og så siger folk, at det er fint nok,« siger Jacob Hansen.
Bitcoin-virksomheder populært mål
Virksomheden med de danske grundlæggere har haft meget efterspørgsel fra især Bitcoin-tjenester, der i sagens natur er oplagte mål for ondsindede hackere.
Da bitcoinbørsen Mt. Gox lukkede i starten af 2014, skyldtes det blandt andet et påstået hackerangreb, hvor det lykkedes at stjæle bitcoins for en værdi af omkring 2,7 mia. kr. Og efter en anden børs Poloniex også blev hacket tidligere i år og mistede bitcoins til en værdi af knap 300.000 kr., valgte ejeren at henvende sig til CrowdCurity for at lade hackercrowden gennemteste platformen.
»Vi er selvfølgelig kede af det, når virksomheder bliver hacket, men det er med til at skabe opmærksomhed omkring nødvendigheden for bedre IT sikkerhed – og for at bruge løsninger som vores for at undgå at blive hacket,« siger Jacob Hansen og fortsætter:
»Pengene er måske sikre i bitcoin-protokollen, men vi bruger stadig gamle web-teknologier til at holde bitcoins, og de er stadig usikre så at sige,« siger Jacob Hansen.
Dette er særligt vigtigt for blandt andet bitcoin-wallets, og af samme årsag har verdens største af slagsen, Blockchain, også valgt at bruge CrowdCurity’s hackerskare til at sikkerhedsteste dens brugeres digitale pengepunge.
CrowdCurity har senest tiltrukket investeringer på knap 6 mio. kr. fra en række bitcoin-investorer sidst i juli. Virksomheden tjener penge ved at tage 20 pct. af den dusør, som sikkerhedstesterne får udbetalt.
Capture the Coin
Da sikkerhedstesterne gik løs på Billy’s Billing, fandt de blandt andet frem til en række mindre brister ved hjælp af cross-site scripting. Derudover opdagede de også et par huller i mellemklassen, blandt andet af typen open url-redirection, click-jacking, og at det var muligt at lave et brute force-angreb på loginformularen.
Hver fejl udløste en dusør til hackeren, og nu har Billy’s Billing valgt at sætte præmierne i vejret, så hackerne stadig er motiverede til at finde nye huller. En lille bug giver således en dusør på ca. 300 kr., en i mellemklassen giver ca. 1700 kr., mens en stor bug kaster næsten 6.000 kr. af sig.
Se Billy’s Billings bounty-program.
»Vi har ikke lært af hackerne, hvordan vi overordnet skal opbygge vores sikkerhed. Men en god rapport indeholder også en anbefalet løsning på det problem, som hackeren finder,« siger Sebastian Seilund.
Nogle gange arrangerer CrowdCurity også små konkurrencer for dens sikkerhedstestere, der med det Capture the Flag-inspirerede navn Capture the Coin går ud på, at der er en række private bitcoin-nøgler, som er skjult på virksomhedens hjemmeside. Det er så hackernes opgave, at forsøge at finde huller i sikkerheden, der leder ind til nøglerne. Den første, der kommer igennem, får så mulighed for at overføre bitcoinen til sig selv.
»Vores testere bliver både motiveret af pengene, men også af den anerkendelse, de får. Og så er det sjovt at få lov til at hacke virksomhederne. Nogle gør det endda gratis,« siger Jacob Hansen.
Leave a Reply