Сколько зарабатывают в баг баунти

Иван Григоров: «Для топовых багхантеров $25К в месяц — не проблема»

Программы поиска уязвимостей всегда привлекают немало внимания со стороны хакеров и специалистов по безопасности. Ведь это легальный способ неплохо зарабатывать одними только поисками багов (при условии, что есть хороший опыт и голова на плечах). На днях нам представилась возможность взять интервью у багхантера Ивана reactors08 Григорова. Он лидер нашей программы Bug Bounty и занимает 11-е место в общем рейтинге платформы HackerOne.

Как начать искать баги? Может ли это быть единственным источником дохода? В каких Bug Bounty участвовать? Сколько зарабатывают багхантеры? И почему поиском уязвимостей особенно выгодно заниматься в кризис? Ответы на эти и другие вопросы читайте в нашем интервью.

Как ты начал искать баги?

О таком явлении, как Bug Bounty, я узнал года два-три назад, но не сталкивался с ним лично до запуска программы Mail.Ru Group. Когда она стартовала, я решил, что стоит попробовать. На тот момент я очень скептически относился к этому занятию и не надеялся, что мне кто-то выплатит хотя бы доллар.

Мне удалось найти пару багов и получить за это первые вознаграждения, а вскоре я занял в программе второе место. Вот тогда я и задумался, что стоит отнестись к этому делу со всей серьёзностью.

И всего за полтора года ты стал самым результативным исследователем в нашей программе, а на HackerOne входишь в первую двадцатку. Как это так?

Просто учишься, и все дела.

И как же ты учишься?

В основном читаю статьи или презентации, описывающие какие-то конкретные уязвимости. Изучаю книги и ресурсы по данной тематике. Смотрю видеодоклады, митапы, конференции. Изучаю чужие отчёты. Ищу информацию в поисковиках. У меня высшее образование, но оно не имеет отношения к IT.

Какими видами уязвимостей ты занимаешься?

В основном вебом, остальное разве что для забавы. Но всё это вопрос мотивации. Можно и браузер поломать, если поставить себе такую цель.

Есть ли у тебя какая-то постоянная работа?

Постоянной работы нет, поиск уязвимостей — мой основной источник дохода.

Ты работаешь один или в команде? Какая схема больше распространена: командная или одиночная?

Я работаю один. Чаще всего багхантеры работают в одиночку, хотя команды тоже иногда встречаются.

Как выглядит твой типичный день? Сколько времени ты тратишь на поиск багов?

Всё зависит от того, есть ли приглашения на новые проекты. Если одно за другим приходят интересные приглашения или же попадается крупный проект с большим scope, то я могу с утра до ночи зависать в поисках уязвимостей и не замечать, как летит время. Но так бывает редко, и обычно я уделяю этому около 3–5 часов в день.

Можно ли прожить исключительно на доход от Bug Bounty?

Определённо можно, но всё зависит от знаний в этой области, количества времени, потраченного на поиски, приглашений в новые и интересные проекты, а также от стремления и желания найти действительно крутой баг. Ведь можно на одной уязвимости сделать 10 тысяч долларов, а можно зарепортить, к примеру, кликджекинг 100 раз по 100 долларов. Кстати, актуальность багхантинга в кризис существенно растёт, ведь большинство компаний платят за баги в долларах :).

Сколько в среднем зарабатывают багхантеры?

Нужно понимать, что существует очень большой разброс в доходе. Он зависит от множества факторов, прежде всего от опыта исследователя и от того, сколько времени он готов уделять взлому. Многие участвуют в Bug Bounty программах от случая к случаю и не столько ради денег, сколько из интереса или желания усилить своё резюме. Понятно, что их доход, скорее всего, будет небольшим (особенно если брать не разовый выигрыш, а заработок за какой-то период, например за полгода-год).

С другой стороны, есть багхантеры, которые занимаются этим серьёзно и регулярно. У меня есть знакомый, который зарабатывает около десяти тысяч долларов в месяц. Есть ребята, которые зарабатывают и по пятьдесят (вот, например, рассказ о личном опыте такого багхантера: My $50k Personal Challenge – Results). Не каждый месяц, но периодически это достижимо. По отзывам некоторых топовых хантеров, для них 25 тысяч долларов в месяц — не проблема.

Кстати, а как попадают в топ?

Для этого нужно присылать много серьёзных багов. Рейтинг строится не по уровню заработка, а по совокупной критичности найденных уязвимостей. Хотя отчасти это влияет и на заработок: чем баг страшнее, тем больше за него обычно готовы платить. Скажем, на HackerOne опасные уязвимости дают в рейтинг примерно 50 баллов, средние — 25, а самые низкие — 15. В профиле у каждого исследователя можно посмотреть и среднеарифметическую оценку, это значение Impact.

Насколько автоматизированы инструменты, которые ты используешь?

Я использую всем известные Burp Suite и sqlmap. А также руки и голову :).

В каких программах Bug Bounty ты участвуешь?

Я стараюсь участвовать во всех программах, как за вознаграждение, так и бесплатно. Конечно, платные для меня в приоритете, но тем не менее я уделяю внимание и бесплатным программам. Например, я отправлял отчёты об уязвимостях и по тем проектам Mail.Ru Group, по которым не предусматривается награда.

Как ты выбираешь программы, в которых участвуешь?

Всё зависит от текущей ситуации. Если меня пригласили в новую приватную программу, то выбор очевиден: как правило, в безопасности таких проектов гораздо больше «дыр», они обнаруживаются быстрее и проще.

А если приглашений давно не было, то я предпочту крупные проекты, в которых выше вероятность наличия багов, упущенных другими исследователями. Или же я могу вернуться к хорошо знакомому проекту, чтобы постараться заново открыть для себя какие-то вещи.

Поясни для наших читателей, что такое приватные программы?

Приватная Bug Bounty — это программа, которая не анонсируется публично и в которую компания приглашает лишь ограниченный круг багхантеров. Это позволяет регулировать количество тестеров, выбирая наиболее опытных и адекватных. Если на проекте ещё никогда не проводился поиск уязвимостей, целесообразно начинать именно с приватной версии, приглашая поучаствовать конкретных проверенных людей. А потом, когда основные баги будут выловлены, можно пригласить к поиску уязвимостей всех желающих.

Как попадают в приватные программы?

Насколько я знаю, на HackerOne приглашают случайным образом. Конечно, сначала нужно набрать какой-то рейтинг на публичных программах, и тогда начинают приглашать. Если ты совсем новичок, шансов получить приглашение в приватную программу у тебя нет.

Чем HackerOne привлекателен как площадка? Есть ли у него какие-то альтернативы?

На данный момент я участвую в программах от HackerOne и от Bugcrowd. Если сравнивать эти две площадки, для меня привлекательнее HackerOne.

Во-первых, сама система репортов намного удобнее: можно красиво оформить отчёт, затем сделать его доступным для других исследователей. К каждому комментарию в репорте можно прикрепить различные файлы. А на Bugcrowd форма отправки репортов запутанная, никаких красивостей для оформления нет, прикреплять файлы можно только в отчёте, но не в комментариях.

Во-вторых, с HackerOne сотрудничает больше крупных компаний. Но с другой стороны, я чаще получаю приглашения на приватные программы от Bugcrowd, нежели от HackerOne. Также у Bugcrowd есть система поощрений для активных исследователей, что весьма приятно.

Службы поддержки на обеих площадках хороши, вам с радостью ответят на любые вопросы. Выплаты производятся обеими площадками без проблем. Оба этих ресурса хороши для исследователей и достойны внимания.

Ты пользуешься возможностью public disclosure на HackerOne?

Да, но довольно редко. Хотя, не скрою, с удовольствием читаю чужие раскрытые репорты.

Бывают ли у тебя спорные моменты?

Изредка. Например, когда несколько однотипных багов засчитывают как один и выплачивают только за один, закрыв остальные репорты и аргументируя это тем, что один фикс исправил несколько уязвимостей. Хотя ты не можешь это проверить, и приходится верить на слово. Бывают случаи, когда через длительное время после твоего отчёта команда безопасности пытается воспроизвести баг, а он уже исправлен разработчиками. В таких случаях что-либо доказать проблематично, если к отчёту не было прикреплено видео.

Несколько месяцев назад у меня был случай, когда багнутый функционал просто исчез. Естественно, команда безопасности не смогла воспроизвести баг и закрыла репорт. А буквально пару дней назад я заметил, что этот функционал вернулся, так что я снова жду подтверждения от команды безопасности.

Бывали случаи, когда компании не платили за баги, которые ты зарепортил?

Было несколько случаев, когда я отправлял критичные уязвимости, но они относились к проектам, не охватываемым программой. Их фиксили и говорили «спасибо». Но тут нет смысла кого-то винить, ведь заранее было ясно, что баги out of scope.

Как ты относишься к программам, в которых не выплачивают вознаграждений?

Зависит от того, какая компания запустила программу. Если это какой-то стартап или некоммерческая организация, то я постараюсь уделить им время и найти что-то ценное.
Если это компания с огромным доходом, мне кажется, как минимум странно, что они не предлагают вознаграждение.

Хотя, как и любой другой пользователь, я бы хотел, чтобы мои данные оставались в безопасности и не были подвержены риску перехвата злоумышленниками. Поэтому я стараюсь защитить и пользователей тех сервисов, которые по каким-то соображениям не могут выплатить награду. Конечно, я не буду в значительной степени углубляться в продукт, чтобы найти как можно больше уязвимостей. Но какие-то лёгкие лично для меня баги, не требующие много времени, я найду и отправлю.

Многие топовые исследователи не такие альтруисты и вряд ли будут иметь дело с бесплатными программами. Отчасти они правы. Но я считаю, что в конечном итоге нужно думать о пользователях и вносить хотя бы небольшой вклад в защиту их интересов.

Расскажи, пожалуйста, про самые интересные баги в твоей практике.

У меня довольно много интересных багов, но, пожалуй, расскажу про последний раскрытый на HackerOne, который сделал уязвимым около 30 тысяч веб-сайтов (преимущественно корпоративных): hackerone.com/reports/111440.

Я решил поискать баги в Zendesk. Программа стартовала довольно давно, и я тщательно просматривал содержимое главной страницы www.zendesk.com, анализируя детали. Меня заинтересовало видео с неизвестного мне на тот момент источника fast.wistia.com.

Также на странице имелся сторонний скрипт с fast.wistia.com, который управлял видео, манипулировал DOM, подгружал данные о видео. Внимательно изучив действие этого скрипта, я заметил, что могу дополнительно подгрузить и исполнить JS-файл с fast.wistia.com. При этом можно полностью изменить путь, название и расширение исполняемого файла. А если мне удастся загрузить и исполнить свой злонамеренный файл, то получится выполнить произвольный сценарий на стороне Zendesk. И я начал искать такую возможность.

Потратив много времени, я понял, что не смогу загрузить файл именно на fast.wistia.com. Тогда я сосредоточился на запросах к fast.wistia.com и заметил JSONP-запрос, который позволял мне манипулировать ответом от сервера. Объединив этот баг с первым, можно было презентовать JSONP-ответ как вредоносный JS-сценарий. И когда у меня это получилось, я начал понимать, что проблема затрагивает не только Zendesk, но и огромное количество магазинов, размещённых на Shopify, огромное количество WordPress- и Tumblr-блогов, множество корпоративных веб-сайтов, около десяти других компаний, имевших собственные программы Bug Bounty, а также самих Wistia. Почти все, кто размещал у себя на сайте видео от Wistia, добавляли и этот уязвимый скрипт.

Первым делом я сообщил об этом в поддержку Wistia. Прождав день, я написал ещё одно письмо, и где-то через час меня заверили, что информация отправлена разработчикам. Прошло ещё два дня, а баг ещё не был исправлен. Конечно, два дня — небольшой срок, но не для подобных багов, ведь под ударом и репутация других компаний.

Мне стало ясно, что багом никто не будет заниматься (потом оказалось, что я был прав), и я стал сообщать об этом другим компаниям в надежде, что они свяжутся с Wistia. Я отправил отчёт в Zendesk, но мне ответили, что ничем помочь не могут и будут просто ждать, пока Wistia решит этот вопрос… Шок, да и только… Тогда я отправил отчёты в Shopify, Trello и Automattic (WordPress). Команды этих компаний не стали ждать Wistia и начали самостоятельно решать проблему, в том числе контактировать с Wistia по своим каналам. И, о чудо, ровно через час после того, как с Wistia связались, баг был исправлен.

Обязательно ли самые интересные уязвимости — самые дорогие?

Нет. Пожалуй, у каждого исследователя есть такие баги, за которые он получил меньше, чем ожидал, или вовсе ничего, но их оценили по достоинству другие исследователи. Вот один из таких примеров, принадлежащий BlackFan: hackerone.com/reports/14883.

Есть мнение, что программы поиска уязвимостей не помогают найти по-настоящему крутые баги. Ты с ним согласен?

Думаю, такое мнение сформировалось из-за большого количества желающих получить халявные деньги, отправив неадекватные отчёты. Этим особенно славятся индусы (хотя среди них есть очень компетентные ребята). И на фоне большого количества таких мусорных отчётов команды начинают задумываться над эффективностью Bug Bounty. Нередко программы закрывают, так и не дождавшись действительно ценных данных или попросту утонув в огромном количестве отчётов.

Что для тебя на первом месте — интересность бага или деньги? Будешь ли ты возиться с заведомо скучным багом, который точно принесёт тебе какой-то доход?

Я не заостряю внимание только на интересных багах. Но в то же время я бы не стал репортить что угодно в погоне за любой прибылью. Я почти никогда не репорчу кликджекинг и всё, что ниже этого по степени критичности. Во-первых, потому что наверняка нарвусь на дубликат и только зря потрачу время, а во-вторых, не все компании принимают подобные репорты.

Какие советы ты мог бы дать начинающим багхантерам?

Прежде всего нужно понимать, что вероятность быстро найти уязвимость обратно пропорциональна времени, в течение которого функционирует программа. Самая лучшая стратегия — не зависать слишком долго в одной программе, участвовать в разных.

Тем не менее, когда я участвую в Bug Bounty, которые уже довольно долго принимают репорты и вероятность обнаружения уязвимости крайне мала, я стараюсь как можно лучше познакомиться с продуктом, найти функционал, которому, вероятнее всего, другие уделили меньше времени. Или же ищу что-то сложное для понимания, что также, вероятнее всего, будет упущено другими исследователями. Стараюсь не упустить из виду какие-либо мелочи. Всё это требует времени, терпения и упорства.

Начать учиться багхантингу можно так: пересмотреть отдельно каждую типовую ошибку безопасности, начав с простых уязвимостей, вроде CSRF, XSS, SQLi. Накопать материал отдельно по каждой из них. Достаточно вбить в поиск на YouTube, и вывалится куча полезного.

Много хороших статей публикуется на Хабре, и там же можно найти упоминания интересных книг. Например:

• Must-read книги за 2014 год по ИБ и программированию
• Книги по информационной безопасности. Знакомимся ближе с ИБ
• Книги о кибербезопасности: 5+ рекомендаций наших экспертов

А вообще как думаешь, какие тренды сейчас есть в области Bug Bounty? Что нас ждёт в 2016 году?

Ещё несколько лет назад Bug Bounty были редкостью, а сейчас открывать такие программы — тренд, и можно ожидать, что всё больше компаний будут приходить на такие площадки, как HackerOne. Всё более востребованными будут становиться приватные программы. У Bugcrowd появился новый формат приватных программ — Flex-программы с ограниченным бюджетом и призовыми. Мне кажется, они понравились компаниям и будут постепенно набирать популярность.

• Блог компании VK
• Информационная безопасность
• Тестирование веб-сервисов

«Охотники за багами»: сколько можно заработать на программах bug bounty

Багхантеры — люди, которые занимаются поисками ошибок в программном обеспечении и интернет-сервисах за вознаграждение. Программы багхантинга существуют во многих крупных международных и российских компаниях. В Международный день защиты информации Hi-Tech Mail.ru поговорил со специалистами и выяснил, сколько зарабатывают «этичные хакеры» и почему все больше компаний внедряет программы багхантинга.

Как появился багхантинг
«Сколько ты зарабатываешь?»
Зачем big bounty программы корпорациям
Как появился багхантинг
«Сколько ты зарабатываешь?»
Зачем big bounty программы корпорациям

Как появился багхантинг, при чем тут книги и где искать объявления и программы

В 1968 году на книжных прилавках появилась книга одного из самых известных американских компьютерных специалистов Дональда Кнута «Искусства программирования». Это — фундаментальный труд, ставший основой для последующих работ в области анализа алгоритмов в информатике и, фактически, первый пример прото-багхантинга в истории. За каждую опечатку или ошибку, найденную в книге, он высылал читателям почтой чуть больше двух долларов.

В 1983 году программа по поиску уязвимостей была запущена компанией «Mentor Graphics», работающей над операционной системой VRTX, придуманной для быстрой обработки данных и решения задач в режиме реального времени. Условия были достаточно щедрыми даже по современным меркам: каждому нашедшему ошибку компания дарила автомобиль Фольксваген «Жук», так как уязвимости на профессиональном IT-языке называются багами — от английского bug, или жучок.

Сама же программа багхантинга или «bug bounty» появилась в 1996 году, благодаря сотруднику браузера Netscape Navigator. Джарретт Ридлинхафер заметил, что среди пользователей продуктов компании есть IT-специалисты в разных направлениях, и выдвинул предложение платить им за поиск ошибок и уязвимостей в рамках отдельной программы.

Современный багхантинг стал широко распространяться в США и странах Европы, когда корпорации Microsoft и Meta (признана экстремистской на территории РФ) стали активно спонсировать проект Internet Bug Bounty. Изначально это была краудфандинговая платформа для программистов по поиску багов, появившаяся в 2013 году.

Уязвимости и ошибки, традиционно, делятся на:

Пример простой ошибки — устаревший логотип социальной сети или компании, опубликованный на сайте после ребрендинга. Критические уязвимости практически всегда связаны с возможностью получить доступ к персональным данным пользователей, либо стратегической внутренней инфраструктуре компании.

Большинство программ bug bounty работает по одному и тому же базовому алгоритму с незначительными изменениями. Организации выдвигают условия, ограничивающие поиск уязвимостей отдельными страницами или областями, либо же, наоборот, предоставляющие полную свободу действий багхантерам. После этого исследователями или этичным хакерам остается найти уязвимость или ошибку и отправить отчет о ней через отдельную форму или платформу. Компания проводит мониторинг отчетов, проверяет наличие уязвимости и устраняет ее.

В некоторых случаях багхантерам нужно предложить конкретное решение по устранению ошибки. После того как организация заканчивает валидацию отчетов, исследователь получает награду.

В 2022 году для багхантеров существуют специальные платформы-агрегаторы, собирающие предложения компаний по проверке инфраструктуры и безопасности на прочность. Среди самых известных и проверенных — YesWeHack и уже упомянутая Internet Bug Bounty. Популярная платформа HackerOne, собирающая наибольшее количество багхантеров, прекратила работу на территории РФ и Беларуси. На них можно выбрать предложение конкретной организации, изучить условия и размер выплат. В России, также, действует собственный агрегатор, на котором публикуются объявления от местных корпораций и разработчиков — The Standoff 365, разработанный IT-компанией Positive Technologies.

«Сколько ты зарабатываешь?»: какие гонорары предлагают компании багхантерам

Кирилл Романов, менеджер по развитию бизнеса департамента информационной безопасности «Сиссофт», подчеркивает, что программы bug bounty позволяют организациям находить ошибки и уязвимости, при этом экономно расходовать средства на их поиск. «Такое краудсорсинговое дополнение к службе информационной безопасности позволяет вычислить и обнаружить дополнительные и неочевидные слабые места в программном обеспечении, которые не удалось найти ранее разработчикам и специалистам по безопасности. Такие программы есть у Google, Amazon, VK, “Лаборатории Касперского” и других крупных компаний».

Некоторые корпорации запускают отдельные сайты и сервисы для рекрутинга багхантеров. Microsoft предлагает сразу несколько направлений, по которым можно заниматься поиском ошибок и уязвимостей. До 20 ноября можно было найти баги в системе Microsoft.NET и получить до 15 тысяч долларов за успешно сданный отчет. За найденную уязвимость в последней версии операционной системы компания готова заплатить до ста тысяч долларов.

В 2016 Apple сделала публичным сервис по привлечению багхантеров: максимальные суммы вознаграждения варьируются от ста тысяч долларов до миллиона. На данный момент самую большую награду заплатили программисту, обнаружившему уязвимость в технологии Apple Secure Enclave, — он получил двести тысяч долларов от компании.

В программе Google специалисты могут искать ошибки во всех сервисах корпорации, особенно активно привлекаются багхантеры, способные найти уязвимости в системах хранения и обработки конфиденциальных данных пользователей. На сайте подробно описаны условия поиска багов, типы ошибок и стоимость каждой обнаруженной уязвимости.

В России также можно найти программы, привлекающие внимательных пользователей к фиксированию багов. СКБ Контур предлагает багхантерам от трех до ста тысяч рублей за найденные ошибки. От 10 до 200 тысяч рублей могут заработать те, кто обнаружит уязвимость в системе Центра защиты информации «Конфидент». Программа bug bounty есть и у крупнейшего маркет-плейса Озон, однако выплаты по ней временно приостановлены.

Свои предложения для багхантеров размещает и VK: за неопасные уязвимости корпорация предлагает от 6 до 18 тысяч рублей, за критические — до 1,8 миллиона рублей. На 2021 год компания суммарно выплатила исследователям больше двух миллионов долларов, приняв более пяти тысяч заявок. Bug bounty программа есть у сети супермаркетов «Азбука вкуса». Согласно статистике The Standoff 365, с мая компания уже выплатила наблюдательным специалистам чуть больше трехсот тысяч рублей, средний размер одного вознаграждения составил 38 тысяч рублей.

Кажется, что заработать состояние только на поиске уязвимостей — невозможно, так как процесс занимает много времени, требует внимательного оформления и нет никаких гарантий, что компания действительно выплатит указанную стоимость гонорара. Тем не менее в мире уже есть первый багхантер-миллионер — девятнадцатилетний Сантьяго Лопес. С 2015 по 2019 год хакер-самоучка из Аргентины обнаружил около 1600 уязвимостей и заработал миллион долларов на ошибках разных компаний.

«Программы Bug Bounty устроены так, что компания платит только за найденную ошибку и только тому, кто первым ее обнаружил. Как правило, оплата зависит от характера и серьезности уязвимости», — подчеркивает Кирилл Романов, менеджер по развитию бизнеса департамента информационной безопасности «Сиссофт». Из-за подобных условий многие «этичные хакеры» не раз вступали с компаниями в диспут, однако практически всегда агрегаторы big bounty-программ встают на сторону корпорации и багхантеры остаются без положенных выплат.

Чтобы доказать наличие уязвимости и степень ее критичности, хакеры могут привлекать нотариусов к осмотру исходного кода ошибки. Такая услуга стоит около 10 тысяч рублей и все еще не гарантирует, что эти деньги вернутся багхантеру в качестве гонорара.

Зачем big bounty программы корпорациям и что говорят сами багхантеры

Дмитрий Мельник, архитектор информационной безопасности компании R-Vision, объясняет, что ранее, тестирование и обнаружение уязвимостей в компаниях считалось выкидыванием денег на ветер.

«Аудит в сфере информационной безопасности — дорогостоящее мероприятие, а убыток от выявленных уязвимостей в большинстве случаев был достаточно невелик, по сравнению с самой стоимостью такого аудита. С расширением доступа в Интернет и увеличением количества веб-приложений, проблемы ИБ-компаний и убытки от несвоевременно выявленных уязвимостей стали расти буквально в геометрической прогрессии. Фактически, именно то, что убытки от невыявленных уязвимостей для бизнеса стали намного превышать стоимость аудита в инфобезе, и сыграло основную роль в становлении и развитии Bug Bounty в настоящее время».

При этом, подчеркивает эксперт, возникает определенная дилемма — объем таких работ огромен и увеличивается он ежедневно. Поиск уязвимостей в любой организации связан с допуском к ее тайнам, а разглашение такой информации может обойтись компании очень дорого. Поэтому вырабатывается определенный компромисс в формате программ bug bounty, которые позволяют исследовать безопасность продукта под разными углами.

Помимо снижения издержек в сфере внутренней информационной безопасности, компании получают доступ к базе талантливых программистов, с которыми можно поддерживать постоянное фриланс-сотрудничество, либо нанять их в штат на вакантные позиции. Поиск уязвимостей представляет собой максимально реалистичную симуляцию угроз в режиме реального времени, что также играет на руку корпорациям: проще заплатить вознаграждение багхантеру и устранить уязвимость, чем дожидаться, пока о потенциальной угрозе узнают злоумышленники.

Александр Ватолин, геймдизайнер и преподаватель в Школе программистов МШП, рассказывает, что практика багхантинга стала настолько нормальной, что некоторые компании проводят ее без дополнительного афиширования.

«Однажды у меня был крупный заказ на проверку и систематизацию методик для занятий. В компании проводилась серьезная реорганизация программ обучения: нужно было в срочном порядке привести их к идеальному состоянию. Как это связано с охотой за багами? Выражалось это в оплате труда, которая состояла из базовой ставки и надбавки за каждую найденную, обоснованную и решенную проблему.

Само собой, такой подход стимулирует к поиску большого количества багов. По итогу компания избавляет себя от будущих репутационных расходов и потерянных клиентов. Данная система уже покинула сферу только разработки программ, развиваясь во всех направлениях».

Начинающие багхантеры не всегда знают, как правильно рассказать об обнаруженной уязвимости. В 2006 году студент Санкт-Петербургского государственного университета произвел «дефейс» факультетского сайта — полностью заменил содержание страницы. Администрация не смогла исправить уязвимость, поэтому на следующий день «дефейс» случился снова. Несмотря на то, что хакер всего лишь хотел подчеркнуть уязвимость системы, он был осужден на два года условно за создание и использование вредоносных программ для ЭВМ.

В 2019 году на Хабре появилась статья о том, как, подключившись к WiFi-сети поезда Сапсан, программисту удалось получить доступ ко внутренней сети РЖД. Тогда компания проигнорировала трюк, заявив, что все сервисы поезда надежно защищены, а уязвимостей, которые могли бы привести к критической утечке данных, — нет. В 2021 году еще один пользователь Хабра опубликовал рассказ, как с помощью этой же ошибки он получил доступ в систему камер видеонаблюдения на вокзалах, перронах и внутренних офисах компании. В этот раз сотрудники РЖД отнеслись к ситуации серьезнее, связались с хакером и поспешили устранить ошибку.

Иногда багхантеры остаются недовольны политикой bug bounty и предложенными вознаграждениями и используют найденные уязвимости во вред компании. В сообществе охотников за багами есть «легенда», как несколько лет назад крупная социальная сеть не выплатила вознаграждение целой команде багхантеров, которая сутками работала над фиксированием ошибок.

После этого, команда ушла в «сопротивление» и брала ответственность за все последующие крупные утечки данных, взломы и сбои в работе социальной сети, о которых становилось публично известно.

Это тоже интересно:

• Самые необычные кибератаки, или насколько богата фантазия у хакеров
• «Выберите картинки со светофорами». Почему мы все еще сталкиваемся с reCAPTCHA в 2022
• Взлом Rutube — это еще цветочки. Вспоминаем самые громкие кибератаки

От «спасибо» до $2 миллионов — сколько можно заработать на bug-bounty

14.09.2022

• Что такое bug-bounty
• Bug-bounty программы от компаний
  • Facebook, Instagram и другие продукты компании Meta
  • Amazon
  • Microsoft
  • Apple
  • Google
  • PornHub
  • HackerOne
  • Bugcrowd
  • HackenProof

  Один из видов заработка для программистов – поиск уязвимостей в продуктах IT-компаний с помощью программ bug-bounty. Такой вид деятельности называют белым хакингом, а специалистов – этичными хакерами или баг-хантерами. Они ищут недостатки в программном обеспечении и сервисах и сообщают о них руководству компании, тем самым помогая исправить ошибку.

  Это золотая жила для тестировщиков, которые по сравнению с разработчиками имеют меньшую оплату и могут таким образом уравновесить свои финансовые возможности. Но в общем ловить крупную рыбу могут все, кто разбирается в коде — и любители, и профессиональные программисты.

  Что такое bug-bounty

  Bug-bounty – это политика поощрения компаниями белых хакеров. За уведомление об уязвимости можно получить от небольшого гонорара в $100-150 до нескольких сотен тысяч долларов. Все зависит от того, насколько серьезна ошибка, и к каким убыткам она могла бы привести в случае, если бы ею воспользовались злоумышленники.

  Что означает термин баг-баунти? Bug – это жаргонное название ошибок в коде, слово дословно переводится как «жук». Bounty означает «вознаграждение», «подарок».

  Не всегда вознаграждением становятся деньги – это может быть, например, бесплатный доступ к сервисам. Мотивацией поиска багов может быть и приобретение опыта и обучения. К примеру, Google предлагает участникам своих программ передать полученное вознаграждение в благотворительные организации, если они осуществляли работу не ради денег.

  Охота на баги – это в известной степени лотерея. Хакер сначала находит уязвимость, затем создает отчет о ней (баг-репорт), присылает компании и ожидает решения. В зависимости от важности найденной ошибки и уровня ее угрозы, компания самостоятельно определяет сумму вознаграждения. Иногда может случаться, что компания «примет к сведению» предоставленную информацию, поблагодарит хакера и на том сотрудничество завершится. Поэтому перед началом работы нужно обязательно ознакомиться с правилами программ баг-баунти, читать, какие уязвимости оплачиваются, а какие не считаются важными.

  Также все зависит от качества выполнения отчета — если баг-хантер подробно расписывает проблему и предлагает методы ее решения, он получит большее вознаграждение, чем предоставивший поверхностный отчет.

  Но даже проделав хорошую работу, специалист не может быть уверен в том, что получит деньги. Если сразу несколько баг-хантеров сообщают об одной ошибке, то приз получает тот, кто был первым.

  И все же вознаграждения, которые предлагают компании, достойны попыток, ведь благодаря им можно получить гонорар от нескольких сотен до нескольких сотен тысяч долларов, а самая высокая ставка в программах баг-баунти пока достигает двух миллионов.

  Bug-bounty программы от компаний

  Программы вознаграждений можно разделить на постоянные и временные:

  1. Постоянные программы действуют постоянно и направлены на поиск наиболее важных и распространенных ошибок в коде продуктов, широко используемых потребителем. Зайдя на сайт IT-компании, вы сможете найти правила подачи отчетов и ориентировочные суммы выплат. Иногда бывает, что такой прайс компания не предоставляет, принимая отдельные решения по каждому баг-репорту. Введя в поиск запрос «название компании + bug bounty» вы скорее всего найдете такую ​​программу.
  2. Временные программы — это нечто вроде открытого тестирования, в котором могут принять участие кто угодно. Компания объявляет сроки, в течение которых принимает отчеты о найденных уязвимостях и определяет, кому достанутся денежные вознаграждения. Чаще всего таким образом тестируют новые продукты.

  Здесь мы расскажем о постоянных программах от компаний, которыми можно воспользоваться в любое время.

  Facebook, Instagram и другие продукты компании Meta

  Компания Meta вознаграждает белых хакеров за поиск уязвимостей в своих продуктах, таких как Facebook, Messenger, Instagram, WhatsApp, Workplace и других приложениях, а также в приложениях с открытым кодом. В правилах вы сможете прочесть, каким образом можно осуществлять тестирование ошибок.

  • Тестирование можно проводить только с собственного аккаунта, либо тестового, либо чужого, но только при наличии письменного согласия.
  • Делиться с кем-то информацией об обнаруженной ошибке можно только после того, как компания проведет расследование и сделает вывод об уязвимости.
  • При поиске ошибок не разрешается взаимодействовать с аккаунтами других людей и получать доступ к их личной информации без письменного согласия.

  Это только некоторые пункты, которые мы решили вынести в статью, на самом же деле их больше. У каждой компании есть подобный перечень, потому еще раз подчеркиваем — перед началом работы внимательно читайте правила.

  Meta не объявляет расценки за найденные баги, оставляя за собой право самостоятельно назначать вознаграждение в каждом случае.

  Amazon

  Один из самых больших маркетплейсов мира Amazon выложил для баг-хантеров перечень вознаграждений за найденные ошибки. Компания отмечает, что в списке указаны самые высокие вознаграждения, а более точно сумма будет определяться при анализе баг-репорта.

  Вот таким образом платформа оценивает найденные ошибки по рискам:

  • Критические — $10 000-$20 000
  • Высокие — $1500-$5000
  • Средние — $350-500
  • Низкий уровень угрозы — $150.

  Здесь также есть целый ряд исключений и оговорок. Так, в интересы программы не входят ошибки, найденные в IP-пространстве AWS (это платформа облачных технологий, принадлежащая Amazon, но все же другой компании).

  Запрещено нацеливать тестовые атаки на сотрудников и клиентов Amazon и требовать, чтобы вам заплатили за найденный баг, угрозой его использования против компании.

  Microsoft

  Детище Билла Гейтса также объявило охоту за багами и выложило довольно обширный список вознаграждений, которые можно получить за найденные ошибки.

  Наибольшие суммы — по $100 000 за уязвимости в сервисах Identity, включая Microsoft Account, Azure Active Directory или выбранные стандарты OpenID, а также за поиск методов обхода средств защиты, встроенных в последнюю версию операционной системы Windows.

  Apple

  Компания Apple имеет фиксированную программу вознаграждений за определенные виды уязвимостей. Прайс и правила получения можно прочесть по ссылке.

  Одно из крупнейших вознаграждений компания предлагает за обнаружение уязвимостей, через которые можно совершить атаку зеро-клик.

  

  А этим летом Apple объявила гонорар за обнаружение ошибки в безопасности для новой функции режима блокировки, призванного защитить пользователей от атак шпионских программ. Программа баг-баунти заработает уже этой осенью – следите за новостями компании.

  Также IT-гигант удвоил выплату за результативные поиски уязвимостей в режиме блокировки со стандартного миллиона до $2 000 000 — это самая высокая сумма за найденные ошибки в отрасли.

  Google

  Google предлагает программу вознаграждений за найденные ошибки во всех своих продуктах. Это касается всех сервисов приложений и служб, размещенных на доменах blogger.com, google.com, projectbaseline.com, youtube.com, verily.com, onduo.com, а также ОС Android, браузера Chrome и стороннего программного обеспечения с открытым кодом, части которого используются в разработках самого Google.

  Теперь объясним, что означает последняя фраза. При создании программного обеспечения компания не всегда заново пишет код, а может использовать открытые библиотеки. Это позволяет экономить время и усилия и не делать лишнюю работу, уже выполненную другими программистами. Выплачивая вознаграждение за такие ошибки, компания не только защищает себя и своих клиентов, но и делает более безопасным все пространство интернета.

  Самая большая предложенная компанией сумма вознаграждения – $31 337.

  PornHub

  Да, порносайты также заботятся о своей безопасности, а особенно такой известный ресурс как PornHub. О баг-баунти программе от него шутят, что это хороший способ совместить приятное с полезным. Так или иначе, найдя баг на порнохостинге, можно получить до $5000.

  Кстати, вы могли заметить, что для Amazon и PornHub программа вознаграждений размещена не на самом ресурсе, а на платформе, специализирующейся на посреднических услугах между баг-хантерами и IT-компаниями. Это выгодно для проектов, которым слишком дорого держать собственный штат экспертов, которые будут выносить вердикты по баг-репортам.

  Bug-bounty платформы

  Это отдельный вид бизнеса, позволяющий пользоваться услугами белых хакеров молодым или локальным компаниям с небольшими бюджетами, а также сервисам, которые сами не занимаются программной разработкой. Но вопрос не только в том, что у всех компаний достаточно ресурсов или персонала, чтобы объявлять собственную программу поиска багов. Большинство проектов не столь известны, чтобы баг-хантеры целенаправленно искали с ними сотрудничество. Потому и существуют такие «биржи», на которых IT-компании выкладывают предложения, а соискатели пробуют силы в охоте на уязвимости.

  HackerOne

  Это одна из старейших компаний, которая стала использовать в целях кибербезопасности опыт сообщества белых хакеров и предлагать их услуги IT-структурам по всему миру. HackerOne существует с 2012 года и имеет главный офис в Сан-Франциско, офисы в Лондоне и Нидерландах.

  Компания была создана с целью сделать Интернет более безопасным и уже 10 лет провозглашает эту идею как свою главную миссию.

  

  Bugcrowd

  Мощная краудсорсинговая платформа, основанная в 2011 году в Австралии. Bugcrowd специализируется на широком спектре уязвимостей и сотрудничает с крупными мировыми бизнес-игроками. Среди них такие компании, как Mastercard, Tesla, Fitbit, Atlassian, Square, Samsung; платформа выполняет заказы министерства обороны США и ВВС. Работает почти в 30 странах.

  HackenProof

  Украинская платформа баг-баунти, входит в группу компаний Hacken, специализирующихся на кибербезопасности. HackenProof является одним из инициаторов поиска уязвимостей в украинских государственных сервисах с целью улучшения их безопасности, а после начала полномасштабного вторжения объявила кибервойну России.

  Компания основана в 2017 году, но уже сотрудничает с мощными игроками на рынке IT и уверенно конкурирует с ветеранами своей отрасли.

  Это краткий экскурс в мир белого хакинга и наград за найденные баги. Существует много платформ и программ баг-баунти, благодаря которым можно сделать поиск уязвимостей своей основной специальностью и извлечь из этого неплохую прибыль.

  Понравилась статья? Расскажите о ней друзьям:
  

  

  Автор: Богдана Гайворонская

  Журналист (с 2003 года), IT-копирайтер (с 2013 года), контент-маркетолог Cityhost.ua. Специализируется на статьях о технологиях, создании и продвижении сайтов.

  Bug Bounty: как белым хакерам заработать в России на поиске уязвимостей

  

  В чём отличие программ по поиску уязвимостей (Bug Bounty) от пентестов и Red Teaming? Какие возможности предоставляют заказчикам российские платформы Bug Bounty в сравнении с ушедшей HackerOne? Как измерить эффективность от проведения Bug Bounty? Как правильно заложить бюджет и сколько реально могут заработать хакеры? Как добиться того, чтобы программа Bug Bounty принесла фактическую пользу компании, а не стала проявлением «бледного» пиара, который не принёс никаких плодов?

  1. Введение
  2. Что такое программа Bug Bounty?
  3. Кто становится заказчиком программ Bug Bounty?
  4. Почему нельзя просто привлечь экспертов по безопасности?
  5. Публичные и непубличные (приватные) программы Bug Bounty
  6. Оценка эффективности программ Bug Bounty
  7. Сколько можно заработать на Bug Bounty?
  8. Другие стимулы для исследователей
  9. Исследователи в программах Bug Bounty: кто они?
  10. Пентестеры и специалисты по поиску багов
  11. Риски в программах Bug Bounty
  12. Как сделать инициативу Bug Bounty привлекательной для компаний?
  13. Как планировать бюджет инициативы Bug Bounty?
  14. Выводы

  Введение

  12 мая прошёл очередной эфир AM Live. На этот раз он был посвящён обсуждению популярной опции при разработке крупных программ — запуска инициатив Bug Bounty. Их участники получают легальную возможность заработать немалые деньги (от 1 до 100 тыс. долларов США, а иногда и более), выполнив задание, связанное с поиском уязвимостей / багов в определённой программе или инфраструктуре. Обнаружив баг, достаточно описать его и предоставить отчёт, за который можно получить вознаграждение. Очень заманчиво и просто.

  Приглашённые на эфир эксперты рассказали, как выстраивается процесс, насколько реально заработать немалые деньги, кто участвует в этих программах. Но главное — они объяснили, почему компаниям выгодно участвовать в подобных инициативах и почему они готовы платить такие огромные деньги.

  Ранее мы в рамках проекта AM Live анализировали, кому и зачем нужен пентест и как правильно выбрать пентестера. Также вам наверняка будет интересно ознакомиться с нашим обзором рынка услуг тестирования на проникновение.

  В дискуссии приняли участие:

  • Ярослав Бабин, руководитель продукта The Standoff, Positive Technologies.
  • Лука Сафонов, технический директор компании «Синклит».
  • Дмитрий Шмойлов, руководитель отдела безопасности программного обеспечения, «Лаборатория Касперского».
  • Алексей Гришин, руководитель программы Bug Bounty, VK.
  • Илья Сафронов, директор по информационной безопасности (CISO) Delivery Club.

  Модератором дискуссии выступил Илья Шабанов, генеральный директор аналитического центра Anti-Malware.ru.

  Что такое программа Bug Bounty?

  Инициатива Bug Bounty предоставляет всем желающим возможность принять участие в поиске уязвимостей заданного типа. Поиск ведётся в продуктах или в инфраструктуре, выставленных заказчиком для теста. Объявления о таких программах обычно появляются на специальных площадках, которые становятся посредниками между хакерами / исследователями и заказчиком.

  «Исследователь получает в своё распоряжение описание политик, список правил, описание того, что можно и что нельзя делать с инфраструктурой и набором приложений. В политиках описывается, как хакер может прийти на “объект” и что может делать / ломать» (Ярослав Бабин).

  Соглашаясь с этими правилами, можно в удобное время выполнить задание. Обнаружив баг, следует отослать отчёт на площадку. Заказчик проводит анализ, оценивает уровень обнаруженной угрозы и выплачивает вознаграждение.

  Расценки по багам известны заранее. Деньги получает только тот хакер, который первым сообщил об обнаруженной уязвимости.

  Кто становится заказчиком программ Bug Bounty?

  «Участие в программах Bug Bounty характерно только для крупных компаний со зрелыми процессами ИБ, выстроенными политиками и внутренними регламентами. У небольших компаний нет таких бюджетов, которые способны привлечь хакеров» (Лука Сафонов).

  Участие в таких инициативах не заменяет компаниям использования других методов оценки безопасности: аудита и пр. По сути, принятое решение об участии становится публичным заявлением для рынка: компания достигла высокого уровня разработки и готова выставить свой продукт для независимой оценки.

  Участие даёт возможность реализовать «краудсорсинг в безопасности, когда продукт оценивается в условиях реальной практики. Это позволяет реально оценить продукт с точки зрения рынка, не ограничиваясь только мнением собственной группы разработчиков» (Дмитрий Шмойлов).

  Появление опции Bug Bounty отражает следование современным подходам к организации разработки, достигнутый компанией уровень рыночной культуры. Участие позволяет сформировать поток собираемой информации о багах и исправлять их заранее, без значительного ущерба.

  «Участие в таких программах положительно влияет на создание положительного имиджа. Он формируется в профессиональных кругах, на форумах. Это — своеобразный маркетинг в профессиональной среде» (Дмитрий Шмойлов).

  Почему нельзя просто привлечь экспертов по безопасности?

  Возникновение инициатив Bug Bounty объясняется вполне обыденными причинами. «Как показывает практика, привлечение к поиску багов индивидуальных хакеров часто приводит к вымогательству с их стороны. Кто-то нашёл что-то и начинает требовать немыслимых денег за информацию, раскрыть которую заранее он отказывается. Иначе он угрожает распространить сведения о баге по всем форумам и телеграм-каналам, переходя к угрозам и не предоставляя достоверных данных об обнаруженной уязвимости. В такой ситуации невозможно провести анализ, невозможно определить реальную цену» (Лука Сафонов).

  Без программ Bug Bounty нельзя рассчитывать на высокую культуру хакеров. Её формируют именно эти инициативы. До них поведение хакера определяется тем, что даже имея на руках реальный баг, он лишён всяких гарантий получения платы за свой труд. Более того, любые попытки надавить на менеджмент, угрозы разглашения информации об уязвимости в случае отказа от обещанной платы порождают обвинения в вымогательстве. Это — уже статья УК.

  «Появление Bug Bounty становится катализатором развития культуры на рынке. Эти площадки привлекают опытных специалистов в области безопасности, которые могут найти здесь интересную работу» (Ярослав Бабин).

  Это имеет ценность и для компаний. Взамен получения сведений о случайных, единичных багах создаётся поток собираемой полезной информации. Он позволяет достичь уверенности в созданном продукте, подталкивает к выстраиванию процессов в компании, проведению широкого анализа. Это помогает своевременно выявить большинство недочётов и избавиться от системных ошибок.

  Рисунок 1. Оценка уязвимости продуктов в рамках программы Bug Bounty

  

  Публичные и непубличные (приватные) программы Bug Bounty

  Многим хорошо известны прежде всего публичные платформы Bug Bounty, когда компании объявляют о готовности выплатить вознаграждение за найденные баги. Такие акции проводятся на публичных, известных платформах, которые способны привлечь большое количество хакеров и обеспечить широкий охват поиска.

  Публичные платформы формируют рынок поиска багов для ИБ. Они помогают новичкам быстро вырасти профессионально и набрать необходимый опыт. Привлекательным становится также объявление крупных сумм вознаграждений, хотя получить их непросто.

  Участие в публичных программах с большим наплывом хакеров приносит исследователям в первую очередь профессиональный рост. Чтобы получить вознаграждение, надо суметь найти баг и успеть первым сообщить об этом.

  На рынке существуют также и приватные платформы Bug Bounty. «Исследователей отбирает сам вендор, который предоставляет им эксклюзивный доступ для оценки. В список избранных попадают высококвалифицированные, известные хакеры. Благодаря им многие программы вычищаются от большинства уязвимостей. Это делается максимально быстро» (Ярослав Бабин).

  «Приватная программа Bug Bounty позволяет собрать максимальный “улов” доступных багов. Публичная программа помогает выявить эксклюзивные ошибки, которые не очевидны ни разработчикам программ, ни специалистам по ИБ» (Лука Сафонов).

  Рисунок 2. Выбор платформы Bug Bounty

  

  Оценка эффективности программ Bug Bounty

  «Главное достоинство программ Bug Bounty состоит в следующем. Хотя обнаружить одну и ту же ошибку могут сразу десять исследователей, компания обязана заплатить только первому из них. Это позволяет избавиться от ошибок с максимальной эффективностью, потому что при любых других формах тестирования пришлось бы заплатить всем 10 участникам» (Лука Сафонов).

  Но следует принять во внимание и обратный эффект. «Публичное участие в Bug Bounty, скорее всего, приведёт к тому, что количество выявленных багов возрастёт, а не сократится. Этого не стоит бояться: на компанию стали смотреть с разных углов зрения, которые раньше не принимались во внимание» (Алексей Гришин).

  Встречаются инциденты разных типов. Простое выявление и устранение багов не означает повышения уровня защищённости. «Оценка безопасности по количеству обнаруженных уязвимостей не является корректной. Положительный эффект состоит в том, что разработчик внедряет правильный процесс контроля безопасности. Участие в Bug Bounty повышает уровень зрелости компании, её команды разработчиков, системы защиты. Вся компания выигрывает в целом, она становится более зрелой и безопасной» (Алексей Гришин).

  Сколько можно заработать на Bug Bounty?

  До сих пор самой известной площадкой для исследователей была HackerOne. Однако из-за сложностей в получении вознаграждений с калифорнийской площадки теперь внимание в России приковано к локальным ресурсам.

  «Самые щедрые вознаграждения на российском рынке предлагала, если не ошибаюсь, VK. Они обещали выплату 70 000 долларов за обнаружение ошибки уровня RCE (Remote Code Execution), как на площадке HackerOne.

  Telegram обещал выплачивать до 200 000 долларов за баг. Но реально я получил там 1 500 долларов. Больше в этой программе я не участвовал. Apple также обещала выплатить до 200 000 долларов, но хотя отправленный репорт разместили в общем списке, сделать выплату они отказались. Приличный заработок даёт в первую очередь участие в приватных программах Bug Bounty. Например, в одной из них я получил 10 000 долларов. Кто платит, тот и получает приток багхантеров.

  Был случай, когда я нашёл уязвимость в Mail.ru, которая требовала только специальной настройки. Она выполнялась в течение двух минут. В результате удалось заработать 800 долларов. С другой стороны, я сталкивался со случаем, когда отправил репорт, а в ответ получил уведомление, что ошибка стала частью более серьёзной уязвимости, которая уже обнаружена. Несколько тысяч долларов “ушли” к другому» (Лука Сафонов).

  Рисунок 3. Целесообразность использования программ Bug Bounty

  

  Другие стимулы для исследователей

  Следует сразу отметить, что исследователей привлекают не только заработки. «Многие приходят за новыми навыками, на которых можно повысить репутацию, получить признание в профессиональном сообществе» (Ярослав Бабин).

  «Репутация хакера — это его реальная валюта. Она позволяет получать новые заказы. Её можно заработать не только на суммах полученных вознаграждений, подходит также участие в социально значимых проектах» (Лука Сафонов).

  «На своей площадке мы планируем привлекать хакеров также за счёт необычных предложений, которые позволяют получить более широкие навыки. Например, реализовать события, которые формально неприемлемы для оцениваемого продукта. Разработчики не исследуют подобные опции, опираясь на невозможность событий. Нахождение багов помогает серьёзно поднять уровень навыков» (Ярослав Бабин).

  Исследователи в программах Bug Bounty: кто они?

  Следует отметить, что несмотря на большое число участников публичных программ Bug Bounty, многие среди них не являются высококвалифицированными специалистами. «По большей части это — новички, которые научились запускать сканеры безопасности. Они создают отчёты диагностики, пользуясь автоматическими сканерами. Большинство выявляемых ими багов являются неопасными либо не входят в список уязвимостей, за которые компания готова платить деньги» (Ярослав Бабин).

  Исследователями чаще всего становятся молодые специалисты в возрасте 20–25 лет. Официально многие из них уже работают в ИБ, а в свободное время они участвуют в программах Bug Bounty. Это позволяет им заработать дополнительные деньги.

  Главный стимул — «на программе Bug Bounty можно очень хорошо прокачать свои навыки. Исследователь получает реальную задачу и возможность заработать вознаграждение. Такое участие позволяет серьёзно повысить свой уровень» (Ярослав Бабин).

  «Существуют также те, для кого багхантинг — это основной вид заработка, причём вполне достойный. Хотя главная притягательная функция — это практическое изучение новых технологий. Там встречаются сисадмины, разработчики, настоящие технари — люди, которые хорошо понимают архитектуру» (Лука Сафонов).

  «Нередко там можно встретить и зрелых разработчиков, которые имеют большой опыт в программировании» (Дмитрий Шмойлов).

  «Большую пользу приносят реальные практики. У нас был случай, когда большинство репортов приносил специалист, который занимался установкой ПО в компаниях. Хорошо зная пользовательский рынок, как ведёт себя продукт на практике, он отыскивал ошибки там, где не додумались разработчики» (Илья Сафронов).

  «Хорошие результаты показывают пентестеры. Имея опыт перебора различных опций, они приобретают хорошие навыки в поиске уязвимостей» (Алексей Гришин).

  

  Пентестеры и специалисты по поиску багов

  Во многих компаниях не рассматривают участие в инициативах Bug Bounty, ограничиваясь проведением пентестов. Но «пентесты проводятся в рамках отведённого времени. Это становится ограничением, которое мешает исследователям добиться полноценной оценки безопасности для своего продукта.

  Пентесты нацелены на поиск уязвимостей в тех областях, которые интуитивно осознаются как создающие риск появления багов. Часто они не позволяют выявить сложные, критические уязвимости, не позволяют оценить угрозы в бизнес-логике, то есть то, что обычно упускают при разработке, но выявляют в реальной жизни» (Лука Сафонов).

  «Пентест может проходить с раскрытием внутренней архитектуры приложения, пентестерам могут быть доступны исходные коды. Это создаёт сильный крен в сторону поиска “заранее ожидаемых” багов. Bug Bounty работает иначе. Это всегда “чёрный ящик”, когда условия похожи на реальный взлом, тогда как в пентестах проверяются отчасти искусственные условия» (Дмитрий Шмойлов).

  «Большую пользу приносит проведение приватных программ Bug Bounty. В этом случае исследователь получает специальный доступ, то есть бизнес-аккаунты, аккаунты юридических лиц, к которым обычные багхантеры в публичных программах не имеют доступа» (Лука Сафонов).

  Риски в программах Bug Bounty

  Главный риск исследователя, принимающего участие в программе Bug Bounty, — это отказ от выплаты ему вознаграждения. Можно назвать четыре случая, когда это происходит.

  «Первый — после отправки репорта о баге становится известно, что это — дубликат: кто-то нашёл баг раньше. В качестве доказательства предоставляется репорт, признанный как победный.

  Второй — компания уже обнаружила уязвимость, о которой сообщает исследователь. Это должно быть отражено в документах. Там указывается на раскрытую уязвимость, даже если она ещё не была исправлена.

  Третий — открытый исследователем баг является частью другого бага, более высокого уровня. В этом случае должен быть предоставлен отчёт со стороны компании, с указанием бага верхнего уровня.

  Четвёртый — баг относится к типу, который не отвечает правилам программы Bug Bounty. Это — самый сложный случай. В случае разногласий проводится арбитраж на площадке» (Алексей Гришин).

  Если оценивать риски со стороны компаний, запускающих свою программу Bug Bounty, то большие опасения связаны с риском утечки обнаруженных багов. Но здесь срабатывает другая логика.

  «Если бы не было программы Bug Bounty, то риск обнаружения бага также остаётся, но в этом случае информация сразу уйдёт на чёрный рынок. Если баг был обнаружен в ходе проведения программы первым исследователем, который утаил его от разработчика, то за ним придёт второй или третий исследователь, который с большой вероятностью сможет найти тот же баг. В большинстве случае информация о баге попадёт к разработчику» (Алексей Гришин).

  

  Как сделать инициативу Bug Bounty привлекательной для компаний?

  Сильным аргументом для руководства компаний является то, что в отличие от приватных программ и пентестов публичные программы Bug Bounty предусматривают оплату найденных багов по результату. «Это — максимально эффективно и максимально дёшево» (Илья Сафронов).

  «Для компаний это — ещё и имиджевая история. Это порождает доверие к компании со стороны рынка» (Ярослав Бабин).

  «Bug Bounty позволяет выстроить активную защиту с учётом особенностей мышления реальных людей. Эта программа позволяет оценить безопасность с точки зрения того, как работают живые люди, а не программы или роботы. Так удаётся выявить те места, через которые хакеры “ломают” программу.

  Bug Bounty позволяет закрыть уязвимость не только там, где проводится тест. Появление репортов порождает процессы в системе безопасности, которые помогают закрыть аналогичные уязвимости в других проектах. Это влияет на рост уровня безопасности разработки» (Алексей Гришин).

  «Пентест — это, условно говоря, просто покупка отчёта, который хорошо принимают различные аналитические агентства. Участие в программе Bug Bounty — это оценка в условиях реального рынка. Но есть и другая важная особенность: минимизируются риски вредоносного использования уязвимостей. Когда исследователи не имеют возможности для получения легального вознаграждения за обнаруженные баги, информация о них попадает на чёрный рынок. Там за них могут также предложить деньги. Bug Bounty — это канал, который удерживает хакеров от нелегального использования результатов проделанной ими работы» (Лука Сафонов).

  «Руководство компаний должно прийти к пониманию, что проблема существования багов в якобы полностью готовых продуктах вполне реальна. Для получения ощущения высокой уверенности в своих продуктах, для выхода на мировой рынок требуется участие в таких программах» (Дмитрий Шмойлов).

  Как планировать бюджет инициативы Bug Bounty?

  Реальная подготовка бюджета для участия в программе Bug Bounty представляет собой нетривиальную задачу. «Но можно предложить простую прикидочную схему. Надо сначала оценить, сколько будет стоить для компании появление одной RCE-ошибки в созданном сервисе. После этого надо умножить это число на четыре и заложить полученный результат как годовой бюджет на Bug Bounty» (Алексей Гришин).

  Но возникает также задача не растратить выделенные средства понапрасну. «Для этого компания прописывает в своих правилах, что после достижения определённого размера выплат дальнейшее проведение программы Bug Bounty приостанавливается. Лучше заняться сначала устранением выявленных ошибок, чем продолжать участие без намерения выплачивать вознаграждение» (Лука Сафонов). Обман хакеров ведёт к потере репутации и в дальнейшем лишает поддержки со стороны хакерского сообщества.

  «К выработке бюджета надо подходить с умом. Не надо выставлять для оценки сразу всю инфраструктуру. Достаточно выделить участки, в надёжности работы которых есть наибольшая уверенность. Например, по ним уже был проведён аудит. Можно также ограничить охват только информацией о самых критически значимых уязвимостях, например RCE и SQL-инъекциях. Это позволит открыто взаимодействовать с хакерами и постепенно расширять охват, добавляя уязвимости среднего и низшего уровня» (Ярослав Бабин).

  Выводы

  В эфире AM Live от 12 мая приняли участие эксперты, которые представляют рынок Bug Bounty со всех сторон: заказчики инициатив, организаторы платформ для их проведения, хакеры. Они согласились, что программа Bug Bounty может принести большую пользу компаниям, позволив им рассматривать свой продукт как полностью готовый для работы на рынке. В то же время в планировании и проведении таких программ есть ряд важных особенностей, которые необходимо учитывать, чтобы добиться полезного эффекта.

  Самые горячие для российского рынка информационной безопасности темы мы обсуждаем в прямом эфире онлайн-конференции AM Live. Чтобы не пропускать свежие выпуски и иметь возможность задать вопрос гостям студии, не забудьте подписаться на YouTube-канал Anti-Malware.ru. До встречи в эфире!

  Похожие публикации:

  1. Как пользоваться расчетным счетом в банке снт
  2. Как посчитать ндфл ип на осно пример
  3. Как уволиться без отработки двух недель законно
  4. Фриланс для начинающих с чего начать