- Vi blir “angrepet” nesten hele tiden via Detectify og vårt private bug bounty-program, hvor vi gir hackere en “finnerlønn” når de finner og rapporterer sårbarheter til oss. Heldigvis blir alle funn i disse “angrepene” rapportert til oss og fikset, sier Emil Vaagland, som er IT Security Manager i FINN.no, til kode24.
FINN.no er Norges største netthandelsside og en stor aktør innenfor annonsemarkedet. Med mange brukere og mye aktivitet er selskapet et attraktivt mål for cyberkriminelle.
Vaagland anslår at det er rundt 200 utviklere som er ansatt i FINN.no. Planen er å ansette enda flere i år.
«Vi dytter ting ut i produksjon i snitt over 1.500 gang per uke.»
Har privat bug bounty-program
Selv jobber Vaagland mest med sikkerhet for alle applikasjonene og infrastrukturen som FINN.no bygger selv.
- Jeg sørger for at FINN.no har mekanismer som hjelper utviklerne å gjøre de riktige tingene istedenfor å blokkere arbeidet deres. For eksempel å sette opp effektiv kodescanning med CodeQL eller å håndtere sårbarheter som blir rapportert inn via FINNs private bug bounty-program.
Selve bug bounty-programmet ble startet opp i 2019. Ifølge Vaagland ble programmet til som følge av at FINN.no ønsket å teste hvordan det var å få mange ulike hackere som prøver seg "kontinuerlig", istedenfor et par sikkerhetstestere som prøver seg et par uker i året.
- Vi dytter ting ut i produksjon i snitt over 1.500 gang per uke, så da trenger vi mer kontinuerlig sikkerhetstesting av alt. Resultatet av bug bounty-programmet er at vi har mye mer effektiv sikkerhetstesting nå enn tidligere, og mye mer mangfold i typer av sårbarheter, sier han.
Oslo Origo sitter på sensitive data om 700.000 folk. Deres viktigste sikkerhetsverktøy: Kulturen
255 rapporter
Vaagland viser til at FINN.no lå på rundt 15 rapporterte sårbarheter per år i perioden 2014 til 2018:
- Men fra 2019 til nå har vi godtatt 255 rapporter via bug bounty programmet. Antall funn per år går også nedover nå, som kan tyde på at de fleste gamle feil er blitt funnet, sier han.
Belønningene for å melde inn bugs ligger mellom 100 til 3.000 dollar, basert på hvor kritiske sårbarhetene er.
- Hittil har vi betalt ut over 100.000 dollar, sier Vaagland.
«Svindel og misbruk av funksjonalitet er den største trusselen.»
Svindel er en stor trussel
- Hvor mange av utviklerne i organisasjonen jobber med sikkerhet?
- Det riktige svaret på dette spørsmålet er alle. Hvert eneste team eier sin egen sikkerhet, og tar sikkerhetsvurderinger daglig når de utvikler.
Ifølge Vaagland har FINN.no tidligere hatt en “security champions”-gruppe, som hadde som hovedmål å hjelpe meg å skalere sikkerhetsarbeidet ved å gjennomføre diverse prosjekter.
- Men etter hvert fant vi ut at det ble vanskelig for utviklerne og sette av nok tid til å gjennomføre prosjektene skikkelig.
Ifølge Vaagland bygger FINN.no for øyeblikket opp et dedikert “security engineering”-team nå, som hittil består av ham og en annen.
- Målet til det teamet er å skalere sikkerhetsarbeidet i organisasjonen, og å bistå utviklingsteam når de trenger hjelp. Security champions kommer til å gå fra et prosjektbasert opplegg til et mer “community”-basert opplegg hvor utviklere får mer ansvar for sikkerhetsoppgaver i teamet sitt.
NAV gjør DevSecOps med 'security champions': - Det første forsøket feilet
"Alle har et ansvar"
- Hva er de største truslene mot FINN.no?
- Svindel og misbruk av funksjonalitet er den største trusselen. Både hobbysvindlere og mer profesjonelle svindlere prøver aktivt å bedra folk via FINN.no. Heldigvis har vi flere teams som jobber aktivt med å oppdage og stoppe slike forsøk og misbruk av funksjonalitet.
Vaagland forteller at en annen aktuell trussel alltid er persondata på avveie og ransomware-angrep.
- Vi har et team som utvikler verktøy som forbrukertrygghets-teamet bruker når de løser svindelsaker, i tillegg til at de jobber mye med deteksjon av svindel i meldinger og annonser, sier han.
Når det gjelder applikasjons og infrastruktur-sikkerhet legger FINN.no mye arbeidet inn i alle faser fra utvikling til produksjon, ifølge Vaagland.
«Vi har en “blame free” kultur, og synes det er viktig å sette søkelyset på å fikse problemer istedenfor å klandre folk for feil.»
Blame free-kultur
- Det som er viktig her er verktøy og prosesser som gir god verdi, og ikke er blokkerende for utviklerne. Rapporter om sårbarheter fra verktøy skal ha så lite falske-positive svar som mulig, hvis ikke blir verktøyene fort ignorert av utviklerne på grunn av at de er unyttige.
- Hvor mye ansvar ligger på hver enkel utvikler i FINN.no for sikkerheten til bedriften?
- Kollektivt så har alle sammen ansvar for å gjøre ting sikkert, men ansvaret når ting går galt ligger til syvende og sist på ledergruppen i bedriften, og ikke på den enkelte utvikler. Vi har en “blame free” kultur, og synes det er viktig å sette søkelyset på å fikse problemer istedenfor å klandre folk for feil.
De har blitt utsatt for Bitcoin-angrep og stengte ned etter Log4Shell - sånn skal de unngå nye trusler
Tom streng-bug
- Har dere opplevd å bli hacket?
- Nei, men vi har sett at svindlere har misbrukt en bug i en flyt for å unngå å verifisere telefonnummer. Det som skjedde der var at forbrukertrygghets-teamet rapporterte noe mistenksom oppførsel, hvor de så at svindlere klarte å hoppe over telefonnummer-verifisering.
Etter at Vaagland og en utvikler hadde sett litt på koden, fant de ut at man enkelt kunne få godkjent verifiseringen ved å sende en tom streng som telefonnummer.
- Klassisk feil! Det skal også sies at vi har fikset hundrevis av sårbarheter de siste årene, og vi har aldri funnet noe spor av misbruk av dem, sier han.
«Alle organisasjoner har altfor få ansatte som jobber 100 prosent med sikkerhet.»
"Altfor få sikkerhetsfolk"
Ifølge Vaagland er den største utfordringen i sikkerhetsarbeidet til FINN.no at det er vanskelig å få tak i sikkerhetsfolk.
- Alle organisasjoner har altfor få ansatte som jobber 100 prosent med sikkerhet. Dette fører til at de fleste sikkerhetsteam må finne smarte måter å effektivisere arbeidet på, i tillegg til at alle utviklere også må gå med sikkerhetshatten av og til, sier han.
Vaagland legger til at det er viktig at sikkerhet ikke er ansvaret til et sentralt team, men at alle sammen deler ansvaret og bidrar.
- Et annet problem som absolutt alle organisasjoner har, er å ha 100 prosent inventar av alle applikasjoner og infrastruktur de eier og egenskapene til dem. Det er vanskelig å skanne eller sikkerhetsoppdatere noe du ikke vet om.