Apasih Bug Bounty itu? Kerjaannya ngapain? Ada duit nya gak?

0
33

Bug bounty program adalah suatu program yang sedang menjadi perbincangan hangat dalam waktu ke belakang ini. Beberapa perusahaan TI ataupun perusahaan yang tergantung dengan adanya media TI sangat mengandalkan bug bounty program ini. Bug bounty program ini sendiri pada dasarnya merupakan suatu program yang diperuntukkan bagi para praktisi keamanan untuk mencari celah-celah yang rentan dieksploitasi dari suatu produk layanan yang berbasis TI. Program ini pada umumnya dibuat oleh perusahaan-perusahaan besar yang sangat bergantung pada media internet untuk mengizinkan bug hunter mencari celah keamanan dari produk mereka. Sebut saja Microsoft, Twitter, Google, Facebook, PayPal, ataupun perusahaan raksasa lainnya yang selalu menjadi langganan bagi para bug hunter untuk melaporkan celah keamanan. dan berita gembira untuk para bug bounty di indonesia karena sudah ada yang menyediakan wadah untuk para bug hunters ini yaitu hack.co.id , Ethical Hacker Indonesia yang diketuai oleh Teguh Aprianto.

Kemudian, apakah terdapat kebijakan tersendiri untuk individu ataupun perusahaan yang ingin mengikuti program ini? Hingga saat ini jawabannya adalah tidak, selama para praktisi atau perusahaan ini telah mendaftar secara resmi akan layanan yang diuji.

Nih saya kasih rincian harga wkwkwk

rincian hadiah yang disediakan oleh pihak GOOGLE untuk para bug huntrs

Mantab kan :v tapi gak semuanya enak dan gak gampang nyari celah di web… serius wkwkwk
Tentunya Anda bisa membayangkan bahwa reaksi orang ketika diberi tahu ada bug beraneka ragam. Beberapa yang pernah saya temui:

  • berterima kasih, langsung membetulkan
  • berterima kasih, memberikan voucher / reward
  • Ngapain sih ngurusin dapur orang, terserah saya mau benerin apa nggak
  • ngotot bugnya itu nggak penting, memberikan link ke linkedin bahwa pengalamannya di dunia security sudah banyak, ketika saya tunjukkan bahwa bugnya lebih banyak lagi, reaksi pertama adalah ingin menuntut saya
  • tidak merespon, sampai harus dihubungi melalui berbagai channel, lalu diperbaiki diam-diam
  • dapet sertifikat

Untuk argumen: ngapain sih ngurusin dapur orang. Jika memang app-nya tidak publik, saya sih tidak peduli. Tapi jika aplikasi tersebut publik, maka publik berhak tau, karena jika tidak saya laporkan, mengakibatkan banyak pengguna aplikasi bisa terkena masalah.

Mengingat bahwa sering kali memberitahukan bug adalah hal yang melelahkan, kadang malah dibego-begoin, diancam dituntut, saya kadang malas memberitahukan sebuah bug, apalagi kalau menurut saya itu tidak terlalu penting.

Saran saya buat perusahaan besar: coba buat program bug bounty. Tanpa program bug bounty, kemungkinan hanya blackhat yang akan mencoba mencari bug di situs Anda, dan kalau ketemu, mungkin akan dimanfaatkan untuk kepentingannya sendiri.

Jika tidak ada program bug bounty, sebagian perusahaan, seperti misalnya Apple, hanya mencantumkan nama orang yang melaporkan bugnya. Para pelapor bug mendapatkan reward bahwa namanya terpajang di website Apple.

Tapi yang paling utama adalah: responlah dengan baik. Saya agak kurang mengerti dengan respon negatif dari sebagian orang dengan laporan bug yang sederhana, jelas, dan tidak merugikan. Apakah kira-kira lebih senang jika bugnya langsung dilempar ke forum secara anomim, dan perusahaan Anda langsung rugi puluhan/ratusan juta, dan kemungkinan Anda langsung dipecat?

Orang-orang super pintar yang bekerja di Facebook dan Google, yang memiliki software development cycle yang ketat, yang memiliki arsitektur yang baik, yang menggunakan metode testing terkini, yang memiliki team pentester internal, masih butuh masukan dari pihak luar yang masih menemukan bug yang tidak ditemukan oleh tim internal mereka. Jadi jangan anggap diri Anda sudah pintar, punya pengalaman belasan atau puluhan tahun di dunia security. Be humble.

Perlu dicatat bahwa peneliti keamanan berhak menerbitkan segala temuan bugnya (setahu saya tidak ada larangan untuk hal ini), apalagi jika bugnya sudah diperbaiki. Kadang jika developer ngotot atau malas tidak mau memperbaiki dalam jangka waktu tertentu, maka mempublikasikan bug adalah hal yang terbaik, karena bisa mendorong developer untuk cepat bekerja, atau membuat user pindah ke produk lain.

Dalam dunia security ada yang namanya Full Disclosure, bahwa bug itu perlu dijelaskan dan dideskripsikan dengan detail ke publik demi keamanan bersama, dan ada yang namanya Responsible Disclosure, yang sama dengan full disclosure, tapi memberikan waktu bagi developer untuk memperbaiki bug tersebut. Saya termasuk penganut responsible disclosure, jadi selalu memberikan waktu sebelum membuat sesuatu jadi publik. Kalau bisa, saya akan kontak dengan developernya langsung, supaya diperbaiki segera, tanpa melibatkan managemen atau pihak atas, dan tidak perlu ribut-ribut tidak penting.

Seorang peneliti security tidak boleh meminta uang ke developer/vendor dengan ancaman akan membeberkan bugnya. Ini namanya pemerasan, termasuk dalam kegiatan blackhat.

Seorang whitehat hanya mencari bug, melaporkannya, dan mungkin menerbitkan blog atau tulisan mengenai bug tersebut. Tapi jika pihak developer/vendor merasa bahwa bug tertentu akan sangat merugikan mereka jika diketahui orang, dan vendor yang mengajukan “uang tutup mulut”, maka itu terserah kepada security researcher untuk menerima uang tersebut atau tidak. Saya sendiri lebih suka mempublish hasil temuan saya, kalo temuan itu menurut saya “keren” karena tidak umum, tapi saya berhasil menemukannya.

Alternatif lain: vendor bisa menyewa researcher tersebut dengan kontrak untuk tidak membuka bug apapun kepada umum. Saya sendiri menyambi menjadi pentester, dan untuk pekerjaan itu, ada dokumen yang perlu saya tandatangani, jadi saya tidak akan menuliskan bug-bug dari pekerjaan saya, hanya yang di luar kontrak saja.

Kadang pihak vendor berusaha menggunakan pengadilan untuk mengancam security researcher agar menutup mulutnya. Hal ini biasanya berhasil juga (hanya perlu uang membayar pengacara). Tapi researcher bisa menyebutkan ke publik: saya menemukan bug di produk perusahaan X, tapi tidak diperbolehkan membeberkannya. Biasanya efeknya lebih buruk lagi: orang-orang menjadi tidak percaya pada produk X tersebut. Jadi, coba dipikirkan baik-baik dalam merespon sebuah laporan keamanan.

Semoga uraian ini cukup menjelaskan mengenai motivasi saya mencari bug di awal, sampai kenapa bug tersebut perlu dituliskan.

intinya….. Nothing system is perfect.

sumber:blog wordpress pribadi owner infolampung.id, hexforce.wordpress.com

Tinggalkan Balasan