Hlavní navigace

Najměte si svého hackera. V ČR startuje HackTrophy, tržiště s etickými útočníky

Autor: HackTrophy
Jan Sedlák

Bug bounty ve formě crowdsourcingu startuje v Česku a na Slovensku, trh etických hackerů chce ale i do světa.

Na českém a slovenském trhu začíná fungovat nová služba HackTrophy, jejímž prostřednictvím si mohou firmy najmout takzvané etické hackery na otestování bezpečnosti jejich webových služeb. HackTrophy rozvíjí koncept tradičního penetračního testování do formy sdílené ekonomiky. Služba z velké části funguje na bázi crowdsourcingu.

Za projektem stojí dvě slovenské bezpečnostní společnosti Nethemba a Citadelo, dva největší hráči na Slovensku v oblasti penetračního testování. K nim se připojil ještě spoluzakladatel společnosti ESET a jeden z nejbohatších Slováků Miroslav Trnka (náš rozhovor).

Ten se na HackTrophy podílí jako investor a poradce a zároveň v novém podniku vlastní třetinový podíl. Další podíly drží zmiňované společnosti, které rovněž investovaly. Výše investic nekomentují, podle informací Lupy jde nicméně dohromady o nižší jednotky milionů, které jsou v této fázi potřeba.

Uber pro etické hackery

„Paralelu lze najít v taxi byznysu. My jsme tradiční taxi služby, které založily Uber, jinak by to za nás udělal někdo jiný,“ popisuje pro Lupu Pavol Lupták z Nethemby. Citadelo a Nethemba se už několik let živí testováním bezpečnosti zákazníků, zaměstnávají etické hackery a vzájemně si konkurují. Společně se pouští do takzvané „bug bounty“ oblasti, kde vidí budoucnost.

Zákazníci, kteří si chtějí nechat otestovat webovou službu, se přes HackTrophy zaregistrují a vypíší, co přesně potřebují. Etičtí hackeři, kteří jsou v programu HackTrophy rovněž registrováni, se pak rozhodují, zda o takovou zakázku mají zájem. Je to ve své podstatě forma aukce ve stylu Google AdWords, firmy si určují maximální ceny, které chtějí zaplatit, a podobně.

HackTrophy si z každé zakázky bere 20 procent, zbytek jde hackerovi. Ten musí nejen chyby najít, ale také je zdokumentovat. Proces zadávání zakázek je částečně automatizovaný, HackTrophy je ale schvaluje. K dispozici je i základní kalkulačka s cenami za jednotlivé úkoly. Ceník a další informace o bug bounty HackTrophy zpracovává v prezentaci.

Služba má firmám snížit náklady na hledání chyb v kybernetické bezpečnosti a zároveň vytvořit možnosti pro etické hackery z celého světa. „Malý e-shop z Česka sice finančně nemusí být tak zajímavý pro zdejší etické hackery, pro jejich kolegy z levnějších a méně rozvinutých zemí už ale ano,“ věří Lupták.

Tradiční penetrační testování nemusí být pro menší hráče dostupné. Většinou se totiž platí za čas hackerů, nikoliv za skutečně objevené problémy. Firmy také vypisují vlastní bug bounty programy, to je ale časově, organizačně a nákladově poměrně náročné. Výhodou crowdsourcingu má být i to, že systémy zákazníků může vidět více očí.

Ze střední Evropy do světa

HackTrophy nabízí i prémiové členství za poplatek 200 eur měsíčně. Členům pak nabízí prostředníka, který zajistí komunikaci mezi hackery a firmou, pomůže se záplatováním objevených chyb a podobně.

HackTrophy má v současné době tým asi 15 etických hackerů, využívají přitom kapacity z firem Nethemba a Citadelo. Program se ale bude otevírat i dalším zájemcům. Služba bude chtít znát jejich identitu kvůli podpisu smluv a garancím. „Budeme si dělat interní background check,“ říká Lupták. Za porušení smlouvy hrozí vyloučení. Etických hackerů zatím není příliš mnoho, v Česku a na Slovensku jich odhadem mohou být desítky.

HackTrophy každopádně chce postupně expandovat do světa, i prostřednictvím partnerů. Na globální scéně ji čeká konkurence v podobě firem HackerOne, která už na investicích nasbírala 74 milionů dolarů, a Bugcrowd, která nabrala 22,7 milionu dolarů. Například HackerOne se aktuálně soustředí více na Spojené státy a HackTrophy rovněž věří, že uspěje i s nižšími cenami.

Na zisk je čas

Pavol Lupták už má s podobným konceptem zkušenosti. V Nethembě si hackeři sami vybírají, zda na daných zakázkách chtějí dělat, soutěží o ně, spojují se. Odmítnutých zakázek je údajně asi pět procent. Dá se pak zjistit, proč na nich nechtěl nikdo dělat – může to být třeba kvůli ceně.

Lupták je rovněž jedním ze zakladatelů pražských prostor Paralelní Polis a velkým propagátorem sdílené ekonomiky a kryptoměn. Koncept Polis se má podle něj v budoucnu rozšiřovat do dalších měst, například do Panamy či Bratislavy.

Marcom

HackTrophy aktuálně nabízí testování webových aplikací. Do budoucna se počítá také s mobilními aplikacemi a dalšími systémy, přesné termíny ale společnosti ještě nenabízí. Implementují se rovněž platby bitcoiny.

„Počítáme s tím, že tak tři, čtyři roky nebudeme v zisku. Velkou část peněz chceme investovat do propagace, abychom koncept mezi zákazníky představili a aby ho přijali za svůj. Další peníze pak samozřejmě vložíme do vývoje aplikace, aby byla dobrá jako ta od HackerOne,“ plánuje Lupták. HackTrophy startuje s desítkou prvních platících zákazníků.

Našli jste v článku chybu?