Как работает bug bounty
20.06.2016
Такой вид заработка, как поиск уязвимостей за вознаграждение, приобрел немалую популярность в последние годы и уже выделился в отдельную область занятости для специалистов информационной безопасности. Все больше компаний присоединяются к таким программам, получившим название bug bounty. О том, как развивалась эта индустрия и как она функционирует сейчас, рассказывает аналитический центр Falcongaze.
Чем же так привлекательны программы bug bounty для компаний? Большую роль здесь играет экономический фактор. Совокупная стоимость bug bounty для организации окажется значительно дешевле, чем найм отдельных специалистов для проведения аудита информационной безопасности и тестов на проникновение. Кроме того, такая кампания чаще всего окажется более эффективной. Многочисленные багхантеры (так называют людей, занимающихся поиском уязвимостей) за короткий срок проверят сервис на практически все возможные уязвимости.
Но вместе с пользой такие программы несут и сложности — появляющиеся от багхантеров отчеты требуется оперативно рассматривать и исправлять, а в случае более-менее популярного ресурса количество предполагаемых уязвимостей может достигать сотен в день, среди которых еще нужно найти те, которые описывают реально существующую проблему. Кроме того, багхантеры редко находят действительно сложные ошибки в работе продукта. Зачастую большая часть исследователей быстро просматривает сервис на простые и широко распространенные ошибки, в надежде малой кровью заработать вознаграждение, а потом переходят к следующей компании. Не дождавшись реакции компании, исследователь также может выложить уязвимость в открытый доступ. Такое случилось, например, с социальной сетью «ВКонтакте». Исследователь обнаружил логическую ошибку в принципе работы рекламного кабинета соцсети. Несмотря на то, что он оставил подробный отчет по ошибке, — компания более полугода не реагировала на его сообщения. В результате уязвимость, вследствие которой можно было практически бесплатно проводить дорогостоящие рекламные кампании на сайте, стала известная широкой общественности.
Такое поведение не слишком характерно для сообщества багхантеров, однако оперативное реагирование все-таки является важным фактором для программ вознаграждения за найденные уязвимости. Задолго до широкого распространения программ bug bounty, внутри сообщества whitehat-хакеров (занимающихся исследованиями без противозаконных целей) сформировался даже своеобразный кодекс чести, согласно которому после нахождения уязвимости информация о ней в первую очередь предоставляется компании, в сервисе которой эта уязвимость была найдена, а в общий доступ попадает уже по прошествии достаточного для устранения этой уязвимости времени. По таким же принципам работает и система bug bounty — репорты отправляются непосредственно компаниям, а после закрытия уязвимости исследователь может рассказать миру о своих достижениях.
Публичный поиск уязвимостей приносит финансовую выгоду не только компаниям, но и исследователям. Для опытных профессионалов программы bug bounty являются неплохим средством заработка. Известный российский багхантер Иван Григоров в своем интервью порталу «Хабрахабр» рассказывал, что специалисты, занимающиеся поиском уязвимостей на постоянной основе, способны зарабатывать своим ремеслом до 25 тысяч долларов в месяц, и это далеко не предел.
Один из самых популярных ресурсов, с помощью которого большинство компаний и внедряют систему bug bounty, — платформа HackerOne. На данный момент платформа объединяет более 3000 специалистов по безопасности в 150 странах. Вообще, история масштабного багхантинга, в том виде, в котором мы знаем его сейчас, с whitehat-хакерами и программой вознаграждения, берет свое начало со спонсирования компаниями Facebook и Microsoft инициативы Internet Bug Bounty. Но если углубиться в историю, то вознаграждение за найденные ошибки практиковалось и до этого, просто не в таком конвейерном масштабе. Один из первых браузеров — Netscape Navigator — собственно и подарил подобным инициативам их имя. Сотрудник Netscape в начале 1996 года заметил, что многие из преданных фанатов продуктов компании являются при этом специалистами в различных технологичных сферах и предложил платить им за участие в разработке проекта, а также впервые использовал для описания этого процесса словосочетание «bug bounty». Первым же подобием программы по поиску уязвимости можно назвать инициативу одного из самых известных математиков и компьютерных специалистов прошлого века Дональда Кнута. За каждую найденную в своей самой известной книге «Искусство программирования» ошибку он высылал внимательным читателям по почте чек на один шестнадцатеричный доллар ($2.56).
Bug bounty может принести пользу не только отдельным компаниям. Совсем недавно стало известно о том, что Министерство обороны США с помощью программы поиска уязвимостей выявило более ста потенциальных брешей в своих электронных ресурсах. Это первая подобная инициатива, проведенная на уровне федеральных властей. В проекте Пентагона приняло участие свыше 1400 специалистов, а представители ведомства, в том числе министр обороны США Эштон Картер, назвал программу отличным способом повысить уровень безопасности систем ведомства при невысоких расходах.
Подобной инициативой заинтересовались даже российские государственные ведомства — об этом газете «Известия» рассказал в майском интервью замминистра связи Алексей Соколов. Представители Минкомсвязи думают о запуске bug bounty для программ из реестра отечественного ПО и сейчас находятся в процессе обсуждения этой возможности с представителями отрасли.