Přidejte si na web soubor security.txt

Pokud se zeptáte nějakého etického hackera, jaké jsou největší problémy při nahlášení nově nalezené bezpečnostní zranitelnosti, většinou se dozvíte, že je to právě ten první krok; koho vlastně kontaktovat?!

Z praxe mohu říci, že někdy je navázání kontaktu opravdu těžké. U menších webů se většinou dívám do HTML hlaviček, zda najdu HTML meta tag “author”, který občas obsahuje email na webmastera.

U větších společností pak začínám na stránce kontaktů, každopádně telefonickým hovorům a chatem s technickou podporou se většinou snažím vyhnout. Už jen z toho důvodu, že nemám jistotu, s kým vlastně budu mluvit a jak bude informace interpretovana dále.

Někdy mám štěstí a na webových stránkách je sekce "security", případně kontakt na pověřence pro ochranu osobních údajů (GDPR). Už se mi ale i stalo, že se mnou DPO (z anglického Data Protection Officer) vůbec nekomunikoval, i když jsem nahlašoval zranitelnost týkající se úniku uživatelských dat.

V případě vážnější zranitelností je pak jedna z posledních možností zkusit naslepo nějaký e-mailový alias, je ale smutné, když se vám email na “security@example.com” vrátí jako nedoručitelný. Občas pomůže přidat si někoho z managementu na LinkedIn a čekat na potvrzení přátelství, tak by to ale vůbec nemělo být.

Problém je, že většina českých společností a internetových projektů zkrátka nemají žádný security tým, nebo jen dedikovanou osobu, která má takové věci na starosti. O bug bounty programu pak nemůže být ani řeč, takové weby u nás spočítáte na jedné ruce.

V tomto článku se dozvíte, jak se připravit na první kontakt s etickým hackerem a celý proces elegantně zjednodušit. Místo házení klacků pod nohy, stačí na web umístit jeden textový soubor.

Podobně jako dnes již zažitý soubor "robots.txt", který říká vyhledávacím robotům, jaké stránky mají indexovat a které mají ignorovat, se začalo v roce 2011 mluvit o implementaci něčeho podobného pro etické hackery.

Mezi návrhy bylo využití souboru "humans.txt", případně "hackers.txt". Věci se konečně začaly hýbat až v roce 2017, kdy Edwin Foudil (EdOverflow) publikoval návrh nového standardu "security.txt". Komunita projevila velký zájem a později byl oficiálně publikovaný RFC draft.

Dnes už můžeme "security.txt" soubor považovat za standard, který nabírá na popularitě a je postupně implementován na spoustě webů po celém světě.

Jak přidat security.txt na web?

Vytvořte textový soubor pojmenovaný "security.txt" ve složce ".well-known" v kořenovém adresáři, ukázka:

https://tunasec.com/.well-known/security.txt

Samotný obsah souboru má velice jednoduchou strukturu, jeden požadovaný a ostatní volitelné náležitosti:

• Contact

  • Povinný údaj, e-mailová adresa, kam má etický hacker zaslat hlášení o nalezené zranitelnosti

• Encryption

  • Nepovinný údaj, odkaz na veřejný PGP klíč, pro šifrovanou komunikaci v případě nalezení kritické zranitelnosti

• Acknowledgments

  • Nepovinný údaj, odkaz na “zeď slávy”, kde je poděkování etickým hackerům, kteří nahlásili bezpečnostní zranitelnost

• Preferred-Languages

  • Nepovinný údaj, informace o preferovaném jazyku pro komunikaci

• Canonical

  • Nepovinný údaj, odkaz na soubor “security.txt” v případě, že je celý digitálně podepsaný

• Policy

  • Nepovinný údaj, odkaz na bezpečností politiku firmy a pravidla pro etické hackery

• Hiring

  • Nepovinný údaj, odkaz na volné (security) pozice ve firmě

• Expires

  • Nepovinný údaj, novinka, informace o datu, kdy bude obsah souboru a platnost údajů zkontrolován

Ukázka

Contact: mailto:security@example.com
Encryption: https://example.com/pgp-key.txt
Acknowledgments: https://example.com/hall-of-fame.html
Preferred-Languages: en, cs
Canonical: https://example.com/.well-known/security.txt
Policy: https://example.com/security-policy.html
Hiring: https://example.com/jobs.html
Expires: Sat, 01 Jan 2022 00:00:00 +0000

Pro zjednodušení si celý soubor můžete vygenerovat na oficiálním webu projektu: https://securitytxt.org/

My už security.txt na webu máme, co vy? :)