Slik blir du dusørjeger for SpareBank 1

- Vi ser på bug bounty som et sikkerhetsnett for de problemene vi ikke klarer å finne på tradisjonelt vis, sier sikkerhetsarkitekt i SpareBank 1.

Man må erkjenne at man ikke alltid skriver perfekt programvare, mener Jon Are Rakvåg. 📸: Privat
Man må erkjenne at man ikke alltid skriver perfekt programvare, mener Jon Are Rakvåg. 📸: Privat Vis mer

- Om du finner en ny måte å misbruke løsningene våre på, og forteller oss hvordan, så får du betalt, sier Jon Are Rakvåg, sikkerhetsarkitekt i SpareBank 1 Utvikling, til kode24.

I november 2021 lanserte SpareBank 1 Utvikling sitt eget "bug bounty"-program. Finnerlønnen for sårbarhetene er avhengig av hvor alvorlig problemet er, men ifølge Rakvåg kan du fort tjene alt fra 100 til 5000 euro for et funn.

Han mener at programmet er et sikkerhetsnett for problemene utviklerne i SpareBank 1 ikke klarer å finne på tradisjonelt vis.

Bruker plattformen Intigriti

Ifølge Rakvåg ligger programmet på bug bounty-plattformen Intigriti. Deltakerne leser reglene og rammene for programmet der, tester SpareBank 1s løsninger direkte i produksjon. Finne du noe rapporterer du hva og hvordan man skal gå fram for å gjenskape problemet.

Neste steg er at ansatte hos Intigriti og SpareBank 1 vurderer funnet: Er det reelt, og hvor alvorlig er det? Så iverksetter banken en vanlig hendelseshåndtering. Dette innebærer spørsmål som: Hvor er sårbarheten, hvor lenge har den vært der, er det tegn til misbruk eller at kunder er berørte? Hvordan går man fram for å fikse problemet?

- Mens det riktige utviklingsteamet hos oss fikser sårbarheten, forteller vi testeren hvordan vi vurderer funnet, og betaler ut finnerlønnen. Kommunikasjon og betaling går gjennom Intigritis løsninger, sier han.

«Vi leverer banktjenester på internett, så vi legger mye innsats i at de skal ha gode sikkerhetsegenskaper, og god testdekning. Likevel er vi sikre på at vi har sårbarheter ingen har funnet ennå»

Du må inviteres inn

Programmet til SpareBank 1 Utvikling er "private", altså er det ikke offentlig listet hos Intigriti.

- Det betyr ikke at det er hemmelig, men at du må inviteres inn for å delta. Det er ikke mer eksklusivt enn at du får bli med om du sender oss en epost, sier Rakvåg.

- Hvorfor er det viktig med bug bounties?

- Vi ser på bug bounty som et sikkerhetsnett for de problemene vi ikke klarer å finne på tradisjonelt vis. Vi leverer banktjenester på internett, så vi legger mye innsats i at de skal ha gode sikkerhetsegenskaper, og god testdekning. Likevel er vi sikre på at vi har sårbarheter ingen har funnet ennå. Omfanget og kompleksiteten i løsningene gjør det nesten uunngåelig Samtidig beveger hele fagfeltet seg, og nye typer angrep dukker opp. Da kan det være gull verdt med mange som hjelper oss å følge med.

Er inspirert av Finn.no

Rakvåg mener at den største fordelen med bug bounties, sammenlignet med en tradisjonell sikkerhetstest, er at folk kan forskjellige ting og har sine egne triks i ermet.

- Det får vi glede av når mange deltakere kan teste løpende og på egne premisser. Dette så vi selv som deltakere i andres bug bounty-programmer. Selv om vi ikke var spesielt erfarne som sikkerhetstestere, så kunne vi finne alvorlige sårbarheter i systemene til store, velrennomerte organisasjoner.

Han legger til at systemene var garantert sikkerhetstestet fra før av.

- Men fordi de tilfeldigvis brukte teknologi vi hadde litt detaljkunnskap om, kunne vi finne noe nytt. Den innsikten var mye av motivasjonen for å starte opp vårt program, godt inspirert av FINN, sier Rakvåg.

«Utviklernes store styrke er at de raskt skjønner hvordan løsningen fungerer logisk og teknisk.»

Utviklere har en stor styrke

- Hvor ofte er det folk melder inn bugs?

- Foreløpig er det ganske sjeldent. Nett- og mobilbanken er heldigvis ganske solid, så vi har så langt bare en håndfull funn. Noen av dem er riktignok veldig gode! Nå rekrutterer vi aktivt nye deltakere, og har akkurat utvidet programmet til å inkludere en hel rekke andre løsninger enn banktjenestene, så det vil nok ta seg opp, sier Rakvåg.

Ifølge ham er det hovedsaklig to typer som melder inn bugs.

- En er dem som jobber med sikkerhet og sikkerhetstesting i en eller annen form, og den andre er utviklere. Styrken til den første gruppen er at de typisk vet hvordan man tester etter typiske sårbarhetsklasser som injection eller SSRF, mens utviklernes store styrke er at de raskt skjønner hvordan løsningen fungerer logisk og teknisk. Det er ikke så mange måter en webløsning kan skrus sammen på. Hvordan ville de gjort dette selv, og hva kan vi ha gjort feil da vi gjorde det? sier Rakvåg.

Uvanlig med bug bounties

Utfordringen til SpareBank1 er at mange av løsningene kun er åpne for dem som har norsk BankID, forteller Rakvåg.

- Det begrenser hvem som kan være med, men det er jo selvsagt en fordel for de norske testerne at det er færre om beinet.

Han sier at det fortsatt er relativt eksotisk med bug bounty-program i Norge.

- Jeg er kjent med fire til fem andre aktive programmer. Det krever en viss modenhet å få virksomheten med på å oppfordre til sikkerhetstesting av produksjonsløsningene, i tillegg til å være villig til å betale ut titusenvis av kroner hver gang man har gjort noe dumt. Dessuten må man erkjenne at man ikke alltid skriver perfekt programvare, sier Rakvåg.