[Tech Thoughts] Các chương trình bug bounty và ethical hacking của DICT trong nháy mắt

Bộ Công nghệ Thông tin và Truyền thông ngày 14 tháng 1 đã công bố thông tư HRA-002, đưa ra các hướng dẫn, quy tắc và quy định được sửa đổi và hợp nhất về công bố lỗ hổng bảo mật cũng như chính sách bảo vệ an toàn và chương trình tiền thưởng lỗi của quốc gia.

Bộ trưởng DICT Henry Aguda thậm chí còn đến hội nghị tin tặc Rootcon vào năm ngoái với mục đích quảng bá sự phát triển này, nói rằng các tin tặc của đất nước nên sử dụng kỹ năng của họ "để bảo vệ, không phải để phá hoại."

Để đạt được mục đích đó, việc thành lập Chính sách Bảo vệ An toàn và Chương trình Tiền thưởng Lỗi (SHPBBP) sẽ là một thông tin đáng hoan nghênh đối với những người có bộ kỹ năng phù hợp, vì nó cố gắng khuyến khích việc công bố bảo mật mạng có trách nhiệm cho các dịch vụ của chính phủ.

Hãy cùng xem xét ý nghĩa của tất cả những điều này, đặc biệt nếu bạn chưa nghe về sự phát triển này.

Tin tặc có đạo đức, tiền thưởng lỗi và chính sách bảo vệ an toàn

Tin tặc có đạo đức là quá trình mà một chuyên gia bảo mật mạng, còn được gọi là tin tặc mũ trắng, xác định và giúp khắc phục các lỗ hổng trong ứng dụng, hệ thống hoặc công nghệ trước khi lỗ hổng đó có thể bị sử dụng một cách độc hại bởi một tin tặc vô đạo đức, hay tin tặc mũ đen.

Do đó, tin tặc có đạo đức mô phỏng các cuộc tấn công mạng trong thế giới thực để đánh giá rủi ro của hệ thống để các hệ thống đó có thể được cải thiện hoặc tăng cường bảo mật.

Để làm cho tin tặc có đạo đức trở nên có giá trị đối với các tin tặc mũ trắng, các chương trình tiền thưởng lỗi là các cấu trúc tổ chức được thiết lập để đánh giá và cung cấp bồi thường tài chính cho công việc phát hiện và chuyển giao có trách nhiệm các lỗ hổng cho những người phát triển các hệ thống đã bị tấn công. Điều này là để bảo mật của các hệ thống đó có thể được cải thiện.

Các chương trình tiền thưởng lỗi thường đi kèm với các biện pháp bảo vệ cho tin tặc để làm công việc của họ.

Các chính sách bảo vệ an toàn này được thiết kế để bảo vệ tin tặc mũ trắng hoặc nhà nghiên cứu bảo mật khỏi trách nhiệm hành chính, dân sự hoặc hình sự nếu họ tìm thấy điều gì đó trong quá trình săn lỗi, miễn là họ công bố nghiên cứu của mình đúng cách theo các chi tiết cụ thể của một chương trình tiền thưởng lỗi nhất định.

Thông tư SHPBBP của DICT là gì?

SHPBBP của DICT nêu rõ các biện pháp bảo vệ và yêu cầu cần thiết để tham gia vào chương trình tiền thưởng lỗi của DICT.

Bây giờ, bạn có thể tự hỏi liệu bất kỳ ai cũng có thể tham gia vào tiền thưởng lỗi hay không.

Theo mục đích của thông tư DICT, bạn phải, ít nhất, là một nhà nghiên cứu bảo mật mạng chuyên nghiệp để tham gia. Bạn cũng phải đăng ký theo thủ tục Xác minh tên thật (KYC) để thậm chí đủ điều kiện nhận phần thưởng từ tiền thưởng lỗi.

Tuy nhiên, cụ thể, thông tư cho biết nó áp dụng cho các đối tượng sau:

• Tất cả các cơ quan chính phủ quốc gia thuộc Nhánh Hành pháp, bao gồm các Tập đoàn thuộc Sở hữu và Kiểm soát của Chính phủ và Công ty con của họ, Tổ chức Tài chính Chính phủ và Trường Đại học và Cao đẳng Nhà nước, bao gồm những tổ chức thuộc tên miền *.gov.ph và các nền tảng do DICT quản lý;
• Quốc hội Philippines, Cơ quan Tư pháp, Ủy ban Hiến pháp Độc lập, Văn phòng Thanh tra viên và Đơn vị Chính quyền Địa phương được khuyến khích cao áp dụng Thông tư này;
• Các tổ chức tư nhân tự nguyện đăng ký theo Chương trình Hợp tác Bảo mật Mạng Công-Tư của DICT;
• Các nhà điều hành Cơ sở Hạ tầng Thông tin Quan trọng (CII), như được xác định theo Kế hoạch Bảo mật Mạng Quốc gia (NCSP); và
• Các Nhà nghiên cứu Bảo mật Mạng chịu trách nhiệm xác định và phân tích các mối đe dọa tiềm ẩn đối với mạng và hệ thống của tổ chức.

Trong khi đó, các biện pháp bảo vệ an toàn sẽ chỉ áp dụng nếu bạn là nhà nghiên cứu bảo mật chỉ thử nghiệm các hệ thống được khai báo trong phạm vi tiền thưởng lỗi; bạn không thực hiện bất kỳ hành vi trích xuất, thay đổi dữ liệu trái phép hoặc gián đoạn dịch vụ nào; bạn báo cáo lỗ hổng một cách có trách nhiệm và riêng tư cho DICT hoặc tổ chức được ủy quyền; và bạn giữ kín phát hiện của mình và không tiết lộ chúng cho đến khi vấn đề bạn tìm thấy đã được giải quyết hoặc bạn được phép thảo luận công khai về nó.

Tất cả hoạt động như thế nào?

Bạn có thể tò mò về cách điều này hoạt động trong thực tế, vì vậy đây là cách nó thường diễn ra.

Một nhà nghiên cứu bảo mật đăng ký tham gia sáng kiến của DICT thông qua thủ tục Xác minh tên thật được đề cập ở trên. Họ phải hoàn thành toàn bộ quá trình và được chấp nhận để đủ điều kiện nhận phần thưởng bằng tiền mặt. Xung đột lợi ích — ví dụ, nhân viên DICT và nhà cung cấp dịch vụ của bên thứ ba được DICT thuê — làm mất tư cách ứng viên tiềm năng tham gia vào các tiền thưởng lỗi này.

Chương trình tiền thưởng lỗi sẽ có tiền thưởng được thiết lập bởi các tổ chức tham gia, cụ thể là các cơ quan chính phủ cần trợ giúp, hoặc các đối tác chính phủ muốn thiết lập tiền thưởng của riêng họ. Nguồn tài trợ để làm cho thông tư này hoạt động "sẽ được tính vào ngân sách hiện tại của cơ quan hoặc tổ chức được bao gồm, và các nguồn tài trợ phù hợp khác mà Bộ Ngân sách và Quản lý có thể xác định, tuân theo các luật, quy tắc và quy định có liên quan."

Những tiền thưởng này — bao gồm các trang web hoặc dịch vụ nào và các khía cạnh nào của các trang web và dịch vụ đó cần được thử nghiệm — được liệt kê trên cổng thông tin chương trình công bố lỗ hổng (VDPP), một trang web dành riêng cho việc săn lỗi và báo cáo chúng. Trang web này được lưu trữ và duy trì bởi cục bảo mật mạng của DICT.

Các lỗi và vấn đề được báo cáo đúng cách cho VDPP có thể thuộc bốn kịch bản bảo mật có thể xảy ra từ Nghiêm trọng, Cao, Trung bình và Thấp, với các khoản thanh toán tiềm năng dựa trên tỷ lệ ngành tùy thuộc vào các báo cáo và mức độ nghiêm trọng của chúng.

Cục bảo mật mạng của DICT sẽ xác thực các báo cáo và sẽ trao cho những người có báo cáo đã xác thực "giấy chứng nhận/ghi nhận thích hợp cho đóng góp của nhà nghiên cứu trong việc báo cáo và/hoặc
giải quyết lỗ hổng đã được xác thực." Các tổ chức tham gia khu vực tư nhân, sau khi phối hợp với cục bảo mật mạng DICT, có thể trao phần thưởng hoặc khuyến khích bằng tiền thích hợp dựa trên các cơ chế khuyến khích có cấu trúc được nêu trong VDPP.

Ngoài phần thưởng bằng tiền, còn có vị thế liên quan khi các công bố có trách nhiệm nhận được sự chú ý từ chính phủ. Phần thưởng bao gồm chứng nhận kỹ thuật số và in, công nhận công khai trên VDPP và Đưa vào các trích dẫn khác của DICT, theo thông tư.

Một sự phát triển rất cần thiết

Một chương trình tiền thưởng lỗi quốc gia với các quy tắc xác định để tham gia vào quy trình là tin tốt lành và là một sự phát triển rất cần thiết trong không gian bảo mật mạng, vì nó sẽ giúp khuyến khích tin tặc có đạo đức trong dài hạn đồng thời cải thiện các hệ thống chính phủ hiện tại.

Nếu bạn là một chuyên gia bảo mật mạng mới nổi, đây có thể là một cách tốt để bước vào ngành, miễn là bạn biết mình đang làm gì và làm công việc cần thiết cho các công bố có trách nhiệm.

Xem thông tư được liên kết tại đây để biết chi tiết và tham gia. Bạn có thể đang giúp cải thiện bảo mật của chính phủ khỏi một số kẻ xấu. – Rappler.com