[Tech Thoughts] DICTs Bug-Bounties und ethisches Hacking auf einen Blick

Das Ministerium für Informations- und Kommunikationstechnologie veröffentlichte am 14.01 die Ministerialverordnung HRA-002, die die überarbeiteten und konsolidierten Richtlinien, Regeln und Vorschriften zur Offenlegung von Sicherheitslücken sowie die Safe-Harbor-Politik und das Bug-Bounty-Programm des Landes festlegt.

DICT-Minister Henry Aguda besuchte sogar letztes Jahr die Rootcon-Hacker-Konferenz, um für diese Entwicklung zu werben, und sagte, dass die Hacker des Landes ihre Fähigkeiten „zum Schutz, nicht zur Zerstörung" einsetzen sollten.

Zu diesem Zweck sollte die Einführung der Safe Harbor Policy und des Bug Bounty Program (SHPBBP) eine willkommene Nachricht für diejenigen mit den richtigen Fähigkeiten sein, da es versucht, verantwortungsbewusste Offenlegungen im Bereich der Cybersicherheit für Regierungsdienste zu fördern.

Schauen wir uns an, was das alles bedeutet, besonders wenn Sie von dieser Entwicklung noch nichts gehört haben.

Ethische Hacker, Bug Bounties und Safe-Harbor-Richtlinien

Ethisches Hacken ist der Prozess, bei dem ein Cybersicherheitsexperte, auch bekannt als White-Hat-Hacker, Sicherheitslücken in Apps, Systemen oder Technologien identifiziert und behebt, bevor diese Sicherheitslücke von einem unethischen oder Black-Hat-Hacker böswillig ausgenutzt werden kann.

Als solches simuliert ethisches Hacken reale Cyberangriffe, um die Risiken eines Systems zu bewerten, damit die betreffenden Systeme verbessert oder anderweitig in der Sicherheit gestärkt werden können.

Um ethisches Hacken für White-Hat-Hacker lohnend zu machen, sind Bug-Bounty-Programme organisatorische Strukturen, die eingerichtet werden, um die Arbeit der Aufdeckung und verantwortungsbewussten Weitergabe von Sicherheitslücken an die Entwickler der gehackten Systeme zu bewerten und finanziell zu entschädigen. Dies geschieht, damit die Sicherheit dieser Systeme verbessert werden kann.

Bug-Bounty-Programme sind oft mit Schutzmaßnahmen für Hacker verbunden, damit sie ihre Arbeit ausführen können.

Diese Safe-Harbor-Richtlinien sind darauf ausgelegt, White-Hat-Hacker oder Sicherheitsforscher vor administrativer, zivilrechtlicher oder strafrechtlicher Haftung zu schützen, falls sie im Prozess der Fehlersuche etwas finden, solange sie ihre Forschung gemäß den Spezifikationen eines bestimmten Bug-Bounty-Programms ordnungsgemäß offenlegen.

Worum geht es in der SHPBBP-Verordnung des DICT?

Das SHPBBP des DICT umreißt die Schutzmaßnahmen und Anforderungen, die für die Teilnahme am Bug-Bounty-Programm des DICT erforderlich sind.

Nun fragen Sie sich vielleicht, ob jeder an einem Bug Bounty teilnehmen kann.

Für die Zwecke der DICT-Verordnung müssen Sie mindestens ein professioneller Cybersicherheitsforscher sein, um teilnehmen zu können. Sie müssen sich auch im Rahmen eines Know-Your-Contributor-Verfahrens (KYC) registrieren, um überhaupt für eine Belohnung aus einem Bug Bounty berechtigt zu sein.

Die Verordnung gilt jedoch ausdrücklich für Folgendes:

• Alle nationalen Regierungsbehörden unter der Exekutive, einschließlich staatseigener und -kontrollierter Unternehmen und ihrer Tochterunternehmen, staatlicher Finanzinstitutionen und staatlicher Universitäten und Hochschulen, einschließlich derjenigen unter der Domain *.gov.ph und DICT-verwalteten Plattformen;
• Der philippinische Kongress, die Justiz, unabhängige Verfassungskommissionen, das Büro des Ombudsmanns und lokale Regierungseinheiten werden dringend ermutigt, diese Verordnung anzunehmen;
• Private Einrichtungen, die freiwillig im öffentlich-privaten Cybersicherheitspartnerschaftsprogramm des DICT eingeschrieben sind;
• Betreiber kritischer Informationsinfrastrukturen (CII), wie im Nationalen Cybersicherheitsplan (NCSP) identifiziert; und
• Cybersicherheitsforscher, die für die Identifizierung und Analyse potenzieller Bedrohungen für das Netzwerk und die Systeme einer Organisation verantwortlich sind.

Safe-Harbor-Schutz gilt nur, wenn Sie ein Sicherheitsforscher sind, der nur die im Rahmen der Bug Bounties deklarierten Systeme testet; Sie keine unbefugte Datenexfiltration, Änderung oder Dienstunterbrechung begehen; Sie Sicherheitslücken verantwortungsbewusst und privat an das DICT oder die autorisierte Einrichtung melden; und Sie Ihre Erkenntnisse privat halten und sie nicht offenlegen, bis das von Ihnen gefundene Problem behoben wurde oder Ihnen die Erlaubnis erteilt wurde, es öffentlich zu diskutieren.

Wie funktioniert das alles?

Sie sind vielleicht neugierig, wie dies in der Praxis funktioniert, also so würde es im Allgemeinen ablaufen.

Ein Sicherheitsforscher bewirbt sich über das oben erwähnte Know-Your-Customer-Verfahren, um der Initiative des DICT beizutreten. Sie müssen den gesamten Prozess abschließen und akzeptiert werden, um für Geldbelohnungen berechtigt zu sein. Interessenkonflikte – beispielsweise DICT-Personal und Drittanbieter-Dienstleister, die vom DICT beauftragt werden – disqualifizieren potenzielle Bewerber von der Teilnahme an diesen Bug Bounties.

Das Bug-Bounty-Programm wird seine Prämien von teilnehmenden Einrichtungen festgelegt haben, nämlich den Regierungsbehörden, die Hilfe benötigen, oder Regierungspartnern, die eine eigene Prämie festlegen möchten. Die Finanzierung, um diese Verordnung umzusetzen, „wird gegen das bestehende Budget der abgedeckten Behörde oder Institution verrechnet, sowie gegen andere geeignete Finanzierungsquellen, die das Ministerium für Haushalt und Verwaltung identifizieren kann, vorbehaltlich einschlägiger Gesetze, Regeln und Vorschriften."

Diese Prämien – einschließlich welche Websites oder Dienste und welche Aspekte dieser Websites und Dienste getestet werden müssen – sind auf einem Portal für Schwachstellenoffenlegungsprogramme (VDPP) aufgeführt, einer Website, die der Suche nach Fehlern und deren Meldung gewidmet ist. Diese wird vom Cybersicherheitsbüro des DICT gehostet und verwaltet.

Ordnungsgemäß an das VDPP gemeldete Fehler und Probleme können unter vier mögliche Sicherheitsszenarien fallen, die von Kritisch, Hoch, Mittel und Niedrig reichen, mit potenziellen Auszahlungen basierend auf Branchensätzen, abhängig von den Berichten und ihrer Schwere.

Das Cybersicherheitsbüro des DICT validiert die Berichte und gibt denjenigen mit validierten Berichten „ein angemessenes Zertifikat/eine Anerkennung für den Beitrag des Forschers bei der Meldung und/oder
Behebung der validierten Sicherheitslücke." Private Einrichtungen können nach Abstimmung mit dem Cybersicherheitsbüro des DICT angemessene Geldbelohnungen oder Anreize basierend auf den im VDPP beschriebenen strukturierten Anreizmechanismen gewähren.

Neben Geldbelohnungen gibt es auch das Ansehen, da verantwortungsbewusste Offenlegungen etwas Zeit im Rampenlicht der Regierung bekommen. Belohnungen umfassen digitale und gedruckte Zertifikate, öffentliche Anerkennung auf dem VDPP und Aufnahme in andere DICT-Zitate, wie in der Verordnung angegeben.

Eine dringend benötigte Entwicklung

Ein nationales Bug-Bounty-Programm mit definierten Regeln für die Teilnahme am Prozess ist eine gute Nachricht und eine dringend benötigte Entwicklung im Cybersicherheitsbereich, da es dazu beitragen sollte, ethisches Hacken langfristig zu fördern und gleichzeitig die Regierungssysteme im Hier und Jetzt zu verbessern.

Wenn Sie ein aufstrebender Cybersicherheitsexperte sind, kann dies ein guter Einstieg in die Branche sein, solange Sie wissen, was Sie tun, und die für verantwortungsbewusste Offenlegungen erforderliche Arbeit leisten.

Sehen Sie sich die hier verlinkte Verordnung für Details an und beteiligen Sie sich. Sie könnten dabei helfen, die Regierungssicherheit vor einigen schlechten Menschen zu verbessern. – Rappler.com