Responsible Disclosure / Bug Bounty Program / etc

Hai sobat Kepo, kali ini saya akan membahas kelanjutan dari pembahasan kemarin seputar Sudut Pandang Security Testing

2.4 Bug Hunting (Responsible Disclosure / Bug Bounty Program / etc)

http://righthands.in/


Perlu menjadi catatan bahwa walaupun aktivitas “Bug Hunting” juga pada dasarnya dilakukan pada kegiatan security testing yang telah dipaparkan sebelumnya, namun “Bug Hunting” pada konteks ini akan lebih dikerucutkan pada kegiatan mencari security bug pada program terbuka seperti responsible disclosure maupun bug bounty program.

Secara konteks pelaksanaan, program seperti ini akan kurang sesuai/optimal untuk dirilis maupun dijadikan tolak ukur utama dalam rangka mengidentifikasi suatu risiko apabila suatu aplikasi/sistem belum pernah melewati fase uji keamanan sebelumnya. Dengan kata lain, program ini baru akan terbilang efektif apabila suatu aplikasi/sistem telah “dianggap” aman (karena melewati fase uji) sehingga diharapkan tidak lagi ditemukan kerentanan-kerentanan umum yang dapat menimbulkan risiko.


Baca Juga :



 Adapun beberapa alasan di antaranya adalah: 

• Terlalu berisiko bila merilis suatu aplikasi/sistem sementara aplikasi/sistem ini sendiri dibangun di atas dasar ketidaktahuan akan konsep keamanan. Perlu diingat bahwa disiplin ‘ilmu antara developer dengan penguji secara umum pastilah terdapat perbedaan. Bila perbedaan ini tidak dikombinasikan menjadi satu di dalam suatu proses pengembangan, maka dapat dipastikan bahwa risiko terkait keamanan yang ada akan dapat semakin besar. Ringkasnya, merilis sesuatu tanpa memastikan terlebih dahulu secara internal dan “menyerahkan langsung pada pihak luar secara bebas”, ini sama seperti membahayakan diri sendiri. 

• Di sisi lain, pada dasarnya seorang penguji yang aktif di berbagai responsible disclosure program cukup “hanya” menemukan 1 bug saja untuk mencapai tujuannya, yaitu baik berupa kepuasan tersendiri karena telah berhasil membantu suatu perusahaan, ataupun untuk meraih hal seperti acknowledgment dan/atau reward. Walaupun di dalam pelaksanaannya seorang penguji juga tetap dapat menggabungkan beberapa jenis bug yang diperoleh dari berbagai asset untuk dapat meraih risiko yang lebih tinggi, namun demikian hal ini bukanlah termasuk hal yang terbilang sering ditemukan di dalam realita. Area fokus penguji terkadang menjadi perhatian utama dari para penguji sehingga terkesan terdapat “batas” untuk mengoptimalkan pengujian. 

• Dan alasan lainnya yaitu karena penguji yang terlibat pada program bug hunting ini tidaklah memiliki “tekanan” untuk melakukan uji secara optimal dan menyeluruh, sehingga pengujian akan dapat dilakukan sesuai dengan kehendaknya (dengan waktu dan target yang juga tidak menentu). Dengan kata lain, tentunya pemilik aplikasi/sistem tidak dapat “berserah sepenuhnya” pada konteks tenaga ahli dengan cara bekerja demikian.

        Bayangkan bila saat perilisan, ternyata tiada bug hunter ataupun peneliti yang sedang menguji            aplikasi ini ataupun berminat / memiliki waktu untuk menguji. Pastinya hal ini akan                            menimbulkan “gap” tersendiri

Sayangnya pada praktik di lapangan, justru terdapat beberapa kecenderungan dari pemilik aplikasi yang menjadikan responsible disclosure / bug bounty program ini sebagai tindakan utama dalam melihat kerentanan ataupun risiko (bukan menjadikannya sebagai tindakan pelengkap). Padahal pada sisi practice yang diterapkan, justru banyak perusahaan di luar yang telah membentengi terlebih dahulu dirinya sebelum akhirnya “melepas diri” ke sisi program pengujian terbuka.

Catatan: membentengi di sini umumnya dapat berupa pengujian internal, menambah security perimeter, menguatkan kebijakan-kebijakan yang terdapat di dalamnya, ataupun hal lainnya.
Apakah ada contoh nyata terkait hal ini? Ya, salah satu yang dapat dijadikan contoh yaitu bug bounty program milik Google. Ketika mereka mengakuisisi suatu perusahaan, maka mereka menyatakan bahwa mereka akan membutuhkan waktu sampai 6 (enam) bulan sebelum akhirnya perusahaan yang diakuisisi itu akan masuk ke dalam “in-scope” bounty. Berikut sedikit nukilan kalimat yang dikeluarkandari portal resminya:

“Although the reports often deal with real vulnerabilities, we pragmatically decided to establish a sixmonth blackout period for any newly announced Google acquisitions before they can qualify for a reward.”  

Apa maksud sederhananya? Sebagian berpendapat bahwa Google hendak memastikan bahwa perusahaan yang baru diakuisisi ini memiliki standar keamanan yang telah diterapkan oleh Google terlebih dahulu sebelum akhirnya (mungkin) dipindahkan ke internal Google dan akhirnya dibiarkan diuji secara terbuka. 

Terlepas dari apapun pendapat yang disampaikan, benang merah yang dapat digapai dari hal ini adalah “pastikan telah melalui proses uji di internal terlebih dahulu baru kemudian dirilis ke luar”.

Mail-kun
Mail-kun Apa ya?

No comments for "Responsible Disclosure / Bug Bounty Program / etc"

Berlangganan via Email