Багхантер: польза компании или конкурент внутреннему штату сотрудников
Миколенко корреспондент ComNews.ru
Несколько лет назад Bug Bounty было двумя незнакомыми словами для российских программистов. На текущий момент российский рынок Bug Bounty представляют три платформы, 29 компаний, 74 публичные программы и тысячи багхантеров, которые исследуют баги за денежное вознаграждение. Нет ли опасения со стороны компаний, что хакер выявит уязвимость и продаст знания о найденном баге за гораздо большую сумму на черным рынке? И насколько багхантинг в дальнейшем будет пользоваться спросом, если изначально вендоры будут делать качественный софт и квалификация внутренних сотрудников сведет потребность привлекать внешних на нет?
Багхантеры - люди, которые занимаются поисками ошибок в программном обеспечении и интернет-сервисах за вознаграждение. Программы багхантинга существуют во многих крупных международных и российских компаниях. Уязвимости и ошибки традиционно делятся на простые, средние, сложные и критические. Компании устраивают баг-тест программ, деля их на публичные и приватные.
22 августа, в рамках международной конференции по кибербезопасности OFFZONE 2024 директор департамента анализа защищенности и противодействия мошенничеству ООО "Бизон" (BI.Zone) Евгений Волошин вместе с другими спикерами подвел итоги года платформы BI.Zone Bug Bounty.
Руководитель продукта BI.Zone Bug Bounty Андрей Левкин заметил, что с запуска платформы в августе 2022 года по сегодняшний день через BI.Zone Bug Bounty компании выплатили белым хакерам более 60 млн рублей. При этом из них 45 млн рублей - только за последний год. Таким образом, размер выплат вырос в три раза год к году. "Мы обновили платформу и ее дизайн, сделали ее более удобной и современной. Одна из наших задач - сделать BI.Zone Bug Bounty не только выгодной для багхантеров и компаний, но также комфортной в использовании. Среднее вознаграждение по платформе составляет 35 тысяч рублей".
В настоящее время в РФ действуют три платформы для проведения программ Bug Bounty - BugBounty.ru, Standoff 365 Bug Bounty от АО "Позитив Текнолоджиз" (Positive Technologies) и Bi.Zone Bug Bounty.
В 2012 году МКПАО "Яндекс" первым в России запустила подобную программу, и с тех пор в программе поучаствовало около 4,5 тысячи исследователей, которые сообщили о более чем 16 тысячах найденных уязвимостей. Программе "Охота за ошибками" в "Яндексе" в 2022 году исполнилось 10 лет. В честь юбилея компания в 10 раз увеличила награду этичным хакерам, которые могли найти уязвимости в сервисах и инфраструктуре "Яндекса". Максимальная выплата за уязвимость составляла 7,5 млн рублей.
На страх и риск
Корреспондент ComNews задал игрокам рынка Bug Bounty вопрос: "Не боятся ли они, что выявленный баг белый хакер унесет и продаст в другую компанию, дабы обогатить конкурентов?" Практически все ответили, что это невыгодно по той причине, что багхантер с этого заработает только раз, но при этом потеряет репутацию на платформе навсегда. А как мы знаем, первую половину жизни человек работает на имя, а вторую - имя на него. Даже есть практика, когда белый хакер, выявляя баг, отказывается от денежного вознаграждения и выполняет работу за мерч. Руководитель отдела перспективных исследований и специальных проектов ПАО "Группа Астра" Роман Мылицын привел пример, как одному исследователю из Германии было гораздо важнее получить не $10 тысяч, а балахон, на котором написано "Я взломал "Астру".
Представитель пресс-службы ООО "Вайлдберриз" (Wildberries) сообщил корреспонденту ComNews, что выплаты в программе Bug Bounty компания сформировала таким образом, что сообщать о найденных уязвимостях выгоднее, чем эксплуатировать их: "Кроме того, в Wildberries организованы внутренние процессы по управлению уязвимостями, что в большинстве случаев позволяет оперативно обеспечить исправление недостатка. Это снижает риск, что информация о них может быть использована в ущерб".
Представитель пресс-службы ООО "ВК" (VK) рассказал, что каждая платформа заключает договор оферты c багхантерами, где прописаны условия поиска и разглашения уязвимостей: "Конфиденциальность, правила взаимодействия и соблюдение договоренностей - это принципы, которые связывают этичных хакеров с платформами Bug Bounty и вендорами программ Bug Bounty. Кроме того, все сервисы уникальны, поэтому уязвимость, которая была обнаружена в одном продукте, не факт, что будет найдена в похожем".
По примеру антивируса
В давние времена, когда еще большого разнообразия кибератак не было и основной проблемой были всевозможные вирусы, - в России и мире немало компаний писали антивирусные программы, будь то АО "Лаборатория Касперского", ООО "Доктор Веб" и др.
И все годы за этими компаниями волочился шлейф - который они опровергали, но никто из них не доказал, - что не без участия этих компаний появлялись новые вирусы. То есть, возможно, что организации, которые создавали антивирусные программы, одной рукой создавали вирусы, а другой - программы антивируса.
Кроме гневного возмущения в ответ на такие обвинения, "Касперский" никогда ничего другого не отвечал. Весьма вероятно, что не было дыма без огня. Вспоминая эту историю с багхантерами, все это может быть еще более скользким. Потому что, когда багхантерам выдается информационная система, чтобы накопать уязвимости, багхантер может сообщить о найденной уязвимости и получить усредненные 35 тысяч рублей. А может не сообщить и получить 350 млн рублей, если это информационная система, скажем, банка или какой-то другой большой структуры. И гарантии, что белые хакеры и черные хакеры - не одни и те же лица, я думаю, не может дать никто.
Итог всего / Буква закона
На перепутье морали остается только надеяться, что черные и белые цвета исследователей Bug Bounty не смешаются. Руководитель продукта BI.Zone Bug Bounty Андрей Левкин спрогнозировал рост рынка вплоть до августа 2025 года в полтора раза. Следует ли из этого, что российские компании во столько же раз увеличат доверие к багхантерам? Неоднократно на многих конференциях спикеры говорили, что компаниям не хватает кадров, в том числе и специалистов по информационной безопасности. Может быть и такое развитие событий, когда штат будет состоять из черных хакеров, но об этом компания заявлять не будет. Несмотря на безличие хакера ПАО "Сбербанк" на минувшей неделе запустило на платформе Bi.Zone Bug Bounty публичные (доступны для всех желающих) программы Bug Bounty для трех онлайн-продуктов - официальный сайт Сбербанка, приложения "СберБанк Онлайн" и "СберИнвестиции".
Вдобавок ко всему Россия планирует создать реестр белых хакеров. Информация о создании этой структуры появилась в ряде российских СМИ. Число внешних атак на государственные ресурсы и сайты в 2023 году выросло на 65% по сравнению с 2022-м, а в 2024-м Россия -
Из всего этого следует, что Россия, несмотря на первый шаг 12-летней давности в лице "Яндекса", только делает первые шаги в мире Bug Bounty. Свежий взгляд со стороны, а именно специалиста (хакера) извне, в любом случае может быть полезным для компании. Если он выявит баг, то компания усилит защиту. Если он не сообщит о выявленном баге и информация всплывет извне, то это важный повод усилить программы и квалификацию внутренних специалистов.
https://www.comnews.ru/content/233733/2024-06-14/2024-w24/1008/belykh-khakerov-rossii-stanet-bolshe