Багхантер: польза компании или конкурент внутреннему штату сотрудников
Миколенко корреспондент ComNews.ru
Несколько лет назад Bug Bounty была двумя незнакомыми словами для российских программистов. На текущий момент российский рынок Bug Bounty представляют три платформы, 29 компаний, 74 публичные программы и тысячи багхантеров, которые исследуют баги за денежное вознаграждение. Нет ли опасения со стороны компаний, что хакер выявит уязвимость и не продаст знания о найденном баге за гораздо большую сумму на черным рынке. И насколько багхантинг в дальнейшем будет пользоваться спросом, если изначально вендоры будут делать качественный софт, и квалификация внутренних сотрудников будет превышать потребность привлекать внешних.
Багхантеры — люди, которые занимаются поисками ошибок в программном обеспечении и интернет-сервисах за вознаграждение. Программы багхантинга существуют во многих крупных международных и российских компаниях. Уязвимости и ошибки традиционно делятся на простые, средние, сложные и критические. Компании устраивают баг-тест программ, деля их на публичные и приватные.
22 августа, в рамках международной конференции по кибербезопасности OFFZONE 2024 директор департамента анализа защищенности и противодействия мошенничеству ООО "Бизон" (BI.Zone) Евгений Волошин вместе с другими спикерами подвел итоги года платформы BI.Zone Bug Bounty.
Руководитель продукта BI.Zone Bug Bounty Андрей Левкин заметил, что с запуска платформы в августе 2022 г. по сегодняшний день через BI.Zone Bug Bounty компании выплатили белым хакерам более 60 млн руб. При этом из них 45 млн руб. - только за последний год. Таким образом, размер выплат вырос в три раза год к году. "Мы обновили платформу и ее дизайн, сделали ее более удобной и современной. Одна из наших задач - сделать BI.Zone Bug Bounty не только выгодной для багхантеров и компаний, но также комфортной в использовании. Среднее вознаграждение по платформе составляет 35 тыс. руб.".
В настоящее время в РФ действуют три платформы для проведения программ Bug Bounty – BugBounty.ru, Standoff 365 Bug Bounty от АО "Позитив Текнолоджиз" (Positive Technologies) и Bi.Zone Bug Bounty.
В 2012 г. МКПАО "Яндекс" первым в России запустил подобную программу, и с тех пор в программе поучаствовало около 4,5 тыс. исследователей, которые сообщили о более чем 16 тыс. найденных уязвимостей. Программе "Охота за ошибками" в "Яндекс" в 2022 г. исполнилось десять лет. В честь юбилея компания в десять раз увеличила награду этичным хакерам, которые могли найти уязвимости в сервисах и инфраструктуре "Яндекс". Максимальная выплата за уязвимость составляла 7,5 млн руб.
На страх и риск
Корреспондент ComNews задал игрокам рынка Bug Bounty вопрос: "Не боятся ли они, что выявленный баг белый хакер унесет и продаст в другую компанию дабы обогатить конкурентов?". Практически все ответили, что это невыгодно по той причине, что багхантер с этого заработает только раз, но при этом потеряет репутацию на платформе навсегда. А как мы знаем, первую половину жизни человек работает на имя, а вторую - имя на него. Даже есть практика, когда белый хакер, выявляя баг, отказывается от денежного вознаграждения и выполняет работу за мерч. Руководитель отдела перспективных исследований и специальных проектов ПАО "Группа Астра" Роман Мылицын привел пример того, как одному исследователю из Германии было гораздо важнее получить не $10 тыс., а балахон, на котором написано "Я взломал Астру".
Представитель пресс-службы ООО "Вайлберриз" (Wildberries) сообщил корреспонденту ComNews, что выплаты в программе баг баунти компания сформировала таким образом, что сообщать о найденных уязвимостях выгоднее, чем эксплуатировать их: "Кроме того, в Wildberries организованы внутренние процессы по управлению уязвимостями, что в большинстве случаев позволяет оперативно обеспечить исправление недостатка. Это снижает риск того, что информация о них может быть использована в ущерб".
Представитель пресс-службы ООО "ВК" (VK) рассказал о том, что каждая платформа заключает договор оферты c багхантерами, где прописаны условия поиска и разглашения уязвимостей: "Конфиденциальность, правила взаимодействия и соблюдение договоренностей – это принципы, которые связывают этичных хакеров с Bug Bounty платформами и вендорами Bug Bounty программ. Кроме того, все сервисы уникальны, поэтому уязвимость, которая была обнаружена в одном продукте, не факт, что будет найдена в похожем".
По примеру антивируса
В давние времена, когда еще большого разнообразия кибератак не было, и основной проблемой были всевозможные вирусы, - в России и в мире немало компаний писали антивирусные программы, будь то АО "Лаборатория Касперского", ООО "Доктор Веб" и другие.
И все годы за этими компаниями волочился шлейф - который они опровергали, но никто из них не доказал - того, что не без участия этих компаний появлялись новые вирусы. То есть, возможно, что организации, которые создавали антивирусные программы, одной рукой создавали вирусы, а другой - программы антивируса.
Кроме гневного возмущения в ответ на такие обвинения, "Касперский" никогда ничего другого не отвечал. Весьма вероятно, что не было дыма без огня. Вспоминая эту историю с багхантерами, все это может быть еще более скользким. Потому что, когда багхантерам выдается информационная система, чтобы накопать уязвимости, багхантер может сообщить о найденной уязвимости и получить усредненные 35 тыс. руб. А может не сообщить и получить 350 млн руб., если это информационная система, скажем, банка или какой-то другой большой структуры. И гарантии того, что белые хакеры и черные хакеры — не одни и те же лица, я думаю, не может дать никто.
Итог всего / Буква закона
На перепутье морали остается только надеяться на то, что черные и белые цвета исследователей Bug Bounty не смешаются. Руководитель продукта BI.Zone Bug Bounty Андрей Левкин спрогнозировал рост рынка вплоть до августа 2025 г. в полтора раза. Следует ли из этого, что российские компании кратно во сколько же раз увеличат доверие к багхантерам? Неоднократно на многих конференциях спикеры говорят о том, что компаниям не хватает кадров, в том числе и специалистов по информационной безопасности. Может быть и такое развитие событий, когда штат будет состоять из черных хакеров, но об этом компания заявлять не будет. Несмотря на безличие хакера ПАО "Сбербанк" на минувшей неделе запустило на платформе Bi.Zone Bug Bounty публичные (доступны для всех желающих) программы Bug Bounty для трех онлайн-продуктов – официальный сайт Сбербанка, приложения "СберБанк Онлайн" и "СберИнвестиции".
В добавок ко всему, Россия планирует создать реестр белых хакеров. Информация о создании этой структуры появилась в ряде российских СМИ. Число внешних атак на государственные ресурсы и сайты в 2023 г. выросло на 65% по сравнению с 2022 г., а в 2024 г. Россия —. По источников СМИ, профильные надзорные госведомства (включая Минцифры, ФСБ и МВД) планируют создать отдельный реестр для белых хакеров в РФ для легализации их деятельности. "Возможность создания реестра белых хакеров и их сертификации прорабатывается в рамках законопроекта о белых хакерах", - сообщил член комитета Совета Федерации по конституционному законодательству и государственному строительству Артем Шейкин.
Из всего этого следует, что Россия, несмотря на первый шаг двенадцатилетней давности в лице "Яндекса", только делает первые шаги в мире Bug Bounty. Свежий взгляд со стороны, а именно специалиста (хакера) извне, в любом случае может быть полезным для компании. Если он выявит баг, то компания усилит защиту. Если он не сообщит о выявленном баге и информация всплывет извне, то это важный повод усилить программы и квалификацию внутренних специалистов.
https://www.comnews.ru/content/233733/2024-06-14/2024-w24/1008/belykh-khakerov-rossii-stanet-bolshe
