Bug bounty program adalah suatu program yang sedang menjadi perbincangan hangat dalam waktu ke belakang ini. Beberapa perusahaan TI ataupun perusahaan yang tergantung dengan adanya media TI sangat mengandalkan bug bounty program ini. Bug bounty program ini sendiri pada dasarnya merupakan suatu program yang diperuntukkan bagi para praktisi keamanan untuk mencari celah-celah yang rentan dieksploitasi dari suatu produk layanan yang berbasis TI. Program ini pada umumnya dibuat oleh perusahaan-perusahaan besar yang sangat bergantung pada media internet untuk mengizinkan bug hunter mencari celah keamanan dari produk mereka. Sebut saja Microsoft, Twitter, Google, Facebook, PayPal, ataupun perusahaan raksasa lainnya yang selalu menjadi langganan bagi para bug hunter untuk melaporkan celah keamanan.
Lalu, apakah program ini merupakan suatu program yang efektif? Beberapa studi dan artikel yang dikeluarkan seperti dari University of California, dinyatakan bahwa bug bounty program ini merupakan program yang cukup efektif dari sisi keuangan. Hal ini pun diperkuat dengan adanya bukti penelitian yang menyatakan bahwa terjadi penghematan terhadap biaya yang dikeluarkan oleh suatu perusahaan untuk memakai layanan jasa keamanan TI. Berdasarkan penelitian itu, para bug bounty hunter (sebutan untuk para praktisi keamanan TI yang mendedikasikan dirinya untuk mencari celah keamanan di suatu produk dan melaporkannya kepada pihak pengembang) benar-benar telah berperan besar karena secara tidak langsung telah menyelamatkan perusahaan yang ada dari kejahatan cyber dan juga menghemat biaya perusahaan.
Kemudian, apakah terdapat kebijakan tersendiri untuk individu ataupun perusahaan yang ingin mengikuti program ini? Hingga saat ini jawabannya adalah tidak, selama para praktisi atau perusahaan ini telah mendaftar secara resmi akan layanan yang diuji.
Nih saya kasih rincian harga wkwkwk
Mantab kan :v tapi gak semuanya enak dan gak gampang nyari celah di web… serius wkwkwk
Tentunya Anda bisa membayangkan bahwa reaksi orang ketika diberi tahu ada bug beraneka ragam. Beberapa yang pernah saya temui:
Tentunya Anda bisa membayangkan bahwa reaksi orang ketika diberi tahu ada bug beraneka ragam. Beberapa yang pernah saya temui:
- berterima kasih, langsung membetulkan
- berterima kasih, memberikan voucher
- Ngapain sih ngurusin dapur orang, terserah saya mau benerin apa nggak
- ngotot bugnya itu nggak penting, memberikan link ke linkedin bahwa pengalamannya di dunia security sudah banyak, ketika saya tunjukkan bahwa bugnya lebih banyak lagi, reaksi pertama adalah ingin menuntut saya
- tidak merespon, sampai harus dihubungi melalui berbagai channel, lalu diperbaiki diam-diam
Untuk argumen: ngapain sih ngurusin dapur orang. Jika memang app-nya tidak publik, saya sih tidak peduli. Tapi jika aplikasi tersebut publik, maka publik berhak tau, karena jika tidak saya laporkan, mengakibatkan banyak pengguna aplikasi bisa terkena masalah.
Mengingat bahwa sering kali memberitahukan bug adalah hal yang melelahkan, kadang malah dibego-begoin, diancam dituntut, saya kadang malas memberitahukan sebuah bug, apalagi kalau menurut saya itu tidak terlalu penting.
Saran saya buat perusahaan besar: coba buat program bug bounty. Tanpa program bug bounty, kemungkinan hanya blackhat yang akan mencoba mencari bug di situs Anda, dan kalau ketemu, mungkin akan dimanfaatkan untuk kepentingannya sendiri.
Jika tidak ada program bug bounty, sebagian perusahaan, seperti misalnya Apple, hanya mencantumkan nama orang yang melaporkan bugnya. Para pelapor bug mendapatkan reward bahwa namanya terpajang di website Apple.
Tapi yang paling utama adalah: responlah dengan baik. Saya agak kurang mengerti dengan respon negatif dari sebagian orang dengan laporan bug yang sederhana, jelas, dan tidak merugikan. Apakah kira-kira lebih senang jika bugnya langsung dilempar ke forum secara anomim, dan perusahaan Anda langsung rugi puluhan/ratusan juta, dan kemungkinan Anda langsung dipecat?
Orang-orang super pintar yang bekerja di Facebook dan Google, yang memiliki software development cycle yang ketat, yang memiliki arsitektur yang baik, yang menggunakan metode testing terkini, yang memiliki team pentester internal, masih butuh masukan dari pihak luar yang masih menemukan bug yang tidak ditemukan oleh tim internal mereka. Jadi jangan anggap diri Anda sudah pintar, punya pengalaman belasan atau puluhan tahun di dunia security. Be humble.
Perlu dicatat bahwa peneliti keamanan berhak menerbitkan segala temuan bugnya (setahu saya tidak ada larangan untuk hal ini), apalagi jika bugnya sudah diperbaiki. Kadang jika developer ngotot atau malas tidak mau memperbaiki dalam jangka waktu tertentu, maka mempublikasikan bug adalah hal yang terbaik, karena bisa mendorong developer untuk cepat bekerja, atau membuat user pindah ke produk lain.
Dalam dunia security ada yang namanya Full Disclosure, bahwa bug itu perlu dijelaskan dan dideskripsikan dengan detail ke publik demi keamanan bersama, dan ada yang namanya Responsible Disclosure, yang sama dengan full disclosure, tapi memberikan waktu bagi developer untuk memperbaiki bug tersebut. Saya termasuk penganut responsible disclosure, jadi selalu memberikan waktu sebelum membuat sesuatu jadi publik. Kalau bisa, saya akan kontak dengan developernya langsung, supaya diperbaiki segera, tanpa melibatkan managemen atau pihak atas, dan tidak perlu ribut-ribut tidak penting.
Seorang peneliti security tidak boleh meminta uang ke developer/vendor dengan ancaman akan membeberkan bugnya. Ini namanya pemerasan, termasuk dalam kegiatan blackhat.
Seorang whitehat hanya mencari bug, melaporkannya, dan mungkin menerbitkan blog atau tulisan mengenai bug tersebut. Tapi jika pihak developer/vendor merasa bahwa bug tertentu akan sangat merugikan mereka jika diketahui orang, dan vendor yang mengajukan “uang tutup mulut”, maka itu terserah kepada security researcher untuk menerima uang tersebut atau tidak. Saya sendiri lebih suka mempublish hasil temuan saya, kalo temuan itu menurut saya “keren” karena tidak umum, tapi saya berhasil menemukannya.
Alternatif lain: vendor bisa menyewa researcher tersebut dengan kontrak untuk tidak membuka bug apapun kepada umum. Saya sendiri menyambi menjadi pentester, dan untuk pekerjaan itu, ada dokumen yang perlu saya tandatangani, jadi saya tidak akan menuliskan bug-bug dari pekerjaan saya, hanya yang di luar kontrak saja.
Kadang pihak vendor berusaha menggunakan pengadilan untuk mengancam security researcher agar menutup mulutnya. Hal ini biasanya berhasil juga (hanya perlu uang membayar pengacara). Tapi researcher bisa menyebutkan ke publik: saya menemukan bug di produk perusahaan X, tapi tidak diperbolehkan membeberkannya. Biasanya efeknya lebih buruk lagi: orang-orang menjadi tidak percaya pada produk X tersebut. Jadi, coba dipikirkan baik-baik dalam merespon sebuah laporan keamanan.
Semoga uraian ini cukup menjelaskan mengenai motivasi saya mencari bug di awal, sampai kenapa bug tersebut perlu dituliskan.
intinya….. Nothing system is perfect.
Memberal_Force
As reported by Stanford Medical, It's in fact the ONLY reason women in this country live 10 years more and weigh an average of 42 lbs lighter than us.
ReplyDelete(Just so you know, it is not related to genetics or some secret-exercise and really, EVERYTHING to do with "how" they eat.)
BTW, I said "HOW", not "WHAT"...
Click this link to find out if this easy quiz can help you find out your true weight loss possibility
Do this hack to drop 2 lbs of fat in 8 hours
ReplyDeleteOver 160 thousand women and men are utilizing a simple and SECRET "liquids hack" to drop 1-2lbs each and every night as they sleep.
It is very simple and it works all the time.
Here are the easy steps for this hack:
1) Get a drinking glass and fill it with water half full
2) Then learn this amazing HACK
so you'll become 1-2lbs skinnier the very next day!
If you're trying hard to lose fat then you certainly need to get on this totally brand new tailor-made keto plan.
ReplyDeleteTo create this keto diet, licensed nutritionists, personal trainers, and top chefs united to develop keto meal plans that are useful, suitable, money-efficient, and delightful.
From their grand opening in early 2019, hundreds of clients have already completely transformed their body and well-being with the benefits a smart keto plan can offer.
Speaking of benefits; in this link, you'll discover eight scientifically-certified ones offered by the keto plan.