Bug Bounty: охота за багами

Обложка статьи: Bug Bounty

Последние несколько лет наблюдается рост цифровизации бизнеса, госучреждений и других организаций. Компании уделяют все больше внимания защите своих ресурсов и создают отдел информационной безопасности для обнаружения и устранения ошибок своими силами. Но есть и другой метод — Bug Bounty. В статье мы расскажем, что это такое и как при помощи этой программы можно привлечь опытных специалистов для выявления опасных уязвимостей внутри вашего проекта.

Что такое Bug Bounty

«Bug Bounty» — это программа, в рамках которой белые хакеры и разработчики получают вознаграждение от компаний за нахождение уязвимостей в их программном обеспечении или веб-приложениях. Участники программы называются «багхантеры».

Программа «Bug Bounty» была создана в 1995 году инженером технической поддержки Джарреттом Ридлинхафером, который работал в Netscape Communications Corporation. Он заметил, что в компании есть много разработчиков, которые по собственной инициативе находили недостатки в ПО и исправляли их самостоятельно или предлагали пути для исправления другим разработчикам.

Джарретт начал изучать это явление подробнее, а в дальнейшем выдвинул предложение о создании программы «Bug Bounty». Ему удалось получить стартовый бюджет в размере $50 000 и официально запустить ее.

Однако поначалу практика не прижилась у других поставщиков программного обеспечения и стала широко распространяться только в 2010 году, когда Google и другие корпорации начали выплачивать вознаграждения пользователям за нахождение уязвимостей в своих продуктах.

История развития программы Bug Bounty
Путь развития программы «Bug Bounty». Источник: https://www.cobalt.io/blog/the-history-of-bug-bounty-programs

Для чего нужна Bug Bounty

Ни один продукт не может быть совершенным, и всегда есть риск возникновения уязвимостей и ошибок. Штатные команды разработчиков могут не заметить их. В этом случае Bug Bounty — эффективный инструмент для выявления недостатков в программном коде, используемом компаниями.

В рамках программы сторонние специалисты мотивированы найти как можно больше уязвимостей и получить за это вознаграждение. Опытные хакеры могут применить свои навыки не нарушая закон.

Как правило, для привлечения сторонних специалистов компании создают предложение с определенной целью и вознаграждением за ее достижение. Например — найти способ войти в систему в обход авторизации. При регистрации в программе Bug Bounty ее участник может взаимодействовать с сайтом компании в рамках закона.

Некоторые компании позволяют сообщать о найденных уязвимостях в любое время в обмен на вознаграждение без предварительной регистрации в роли багхантера.

Bug Bounty позволяет экономить значительную часть времени и денег, которые можно было потратить на предотвращение последствий взлома системы или утечки конфиденциальной информации. В результате это хороший инструмент для улучшения качества продукта с помощью открытых проверок и тестирования.

Лидирующее место по количеству багхантеров занимает Индия — 23%. На втором месте находится США — 20%. Россия охватывает 6% от общего количества участников «Bug Bounty» по данным площадки HackerOne.

Карта мира с количеством багхантеров по странам

Кто может участвовать в программе

В программе Bug Bounty могут участвовать практически все желающие. Но часто бывают случаи, когда рассматриваются только специалисты с навыками тестирования на безопасность и умением находить уязвимости в программных продуктах. У каждой компании индивидуальные требования к участникам.

Важно отметить, что программы Bug Bounty требуют от участников соблюдения правил и этических принципов. Они не допускают попыток взлома или получения доступа к чужим данным без согласия владельца.

Объявление о публичном конкурсе должно содержать условия с конкретным заданием, критериями и порядком оценки результатов работы, местом, сроком и порядком их представления. Также компания обязана указать размер и форму награды, а также объявить результаты конкурса.

Принять участие в программе можно через распространенные платформы, такие как HackerOne, Bugcrowd, Synack, Cedro и другие. У крупных организаций могут быть собственные правила и условия участия. Например, такое предложение есть напрямую у Яндекса.

По статистике HackerOne, главная мотивация для участия в Bug Bounty — развитие навыков. Деньги и все остальное важны в меньшей степени.

График со статистикой главных причин для участия в Bug Bounty по версии HackerOne

Плюсы и минусы программы Bug Bounty для компании

Плюсы:

  • Сокращение рисков. Регулярное тестирование защиты и выявление уязвимостей позволяет минимизировать возможные угрозы, связанные с нарушением безопасности.
  • Выплаты только за обнаруженные уязвимости. Это позволяет экономить на найме специалистов и регулярной выплате им зарплаты.
  • Привлечение неограниченного количества специалистов. За вознаграждение уязвимость в вашем проекте могут искать сразу несколько высококвалифицированных специалистов. При этом они мотивированы найти их как можно больше и быстрее.
  • Реалистичная симуляция угроз. В Bug Bounty могут участвовать реальные хакеры, которые будут использовать все доступные им инструменты. Это позволит понять, насколько ресурс устойчив к реальным угрозам.
  • Поиск талантов. Порой найти и проверить умения специалиста затруднительно. Bug Bounty позволяет увидеть на деле, у кого хорошие навыки в программировании и тестировании. Это может привести к выгодному сотрудничеству на долгосрочной перспективе.
  • Продвижение компании. Публичное объявление о том, что компания имеет программу Bug Bounty, может стать дополнительным аспектом продвижения.

Минусы:

  • Риски попасть под хакерскую атаку. В программе Bug Bounty могут участвовать злоумышленники, которые вместо поиска уязвимостей будут заниматься злонамеренными действиями. Особенно, если для этого им были выданы расширенные права доступа.
  • Длительный и ресурсозатратный процесс. Платформа Bug Bounty требует много времени и усилий, чтобы ее внедрить и поддерживать. Компании, занятой в борьбе с багами, может быть трудно уделять достаточно времени и ресурсов на решение других проблем.
  • Проверка достоверности уязвимостей. Не всякий найденный баг представляет собой реальную угрозу безопасности. Это означает, что многие баги, найденные на площадке Bug Bounty, могут оказаться ложными сигналами или быть незначительными. Компании придется проверять всю информацию, которую предоставляют участники.

Создать собственный отдел информационной безопасности или привлекать специалистов в рамках программы Bug Bounty — индивидуальный выбор каждой компании. Ничто не мешает совместить оба метода поиска уязвимостей.

Почему Bug Bounty необходима компаниям

Есть множество случаев, когда пользователи находили критические уязвимости и сообщали о них компаниям и получали вознаграждение. Если бы программы Bug Bounty не существовало, большая часть найденных ошибок могла остаться незамеченной. Или, еще хуже, попасть в руки злоумышленников.

Вот пара примеров, которые показывают, как Bug Bounty помогает компаниям устранить критические ошибки и избавить себя от негативных последствий.

Уязвимость в Tesla

В 2022 году 19 летний хакер сумел проникнуть в систему управления 25 электрокаров в 13 странах мира. Обнаруженная уязвимость позволила ему удаленно получить доступ к некоторым функциям Tesla и управлять ими: блокировать и разблокировать двери, открывать окна, а также запускать двигатель без ключа. Хакер также сообщил, что может узнать о местоположении автомобиля и наличии в ней водителя.

Уязвимость в Instagram*

В 2019 году исследователь безопасности Лаксман Мутия обнаружил уязвимость, которая позволяла сбросить пароль любой учетной записи Instagram* и получить полный контроль над ней. За находку Лаксман получил вознаграждение $30 000.

Уязвимости с подобным масштабом встречаются регулярно. Они способны нанести большой финансовый и репутационный удар по компании. Но благодаря существованию программы Bug Bounty, обнаруженные ошибки устраняются.

Google выплатила $250 тыс. вознаграждения не тому человеку в рамках программы Bug Bounty.

Хакер-багхантер Сэм Карри обнаружил, что его банковский счет неожиданно увеличился на $250 тыс. от Google. Однако это была ошибка и хакер сразу написал компании, чтобы вернуть деньги обратно, но никакого ответа не получил. Через некоторое время компания обнаружила ошибку и выразила свою благодарность хакеру за то, что он сообщил им о произошедшем.

*Instagram — проект Meta Platforms Inc., деятельность которой в России запрещена

Bug Bounty в России

Программа Bug Bounty активно используется многими крупными компаниями в России, в том числе банками, телекоммуникационными компаниями и частным бизнесом. Они предлагают вознаграждение за обнаружение уязвимостей и ошибок в своих продуктах.

Один из крупнейших пользователей программы Bug Bounty в России — Сбербанк. Банк проводит регулярную оценку своих систем безопасности с помощью программы Bug Bounty и предлагает вознаграждение до 5 миллионов рублей за обнаружение критических уязвимостей в своих продуктах.
Роснефть с 2017 года использует программу Bug Bounty для улучшения своей безопасности. Mail.ru Group создала свою программу в 2014 году, и с тех пор регулярно обновляет и улучшает свои системы безопасности на основе результатов найденных ошибок. Mail.ru Group предлагает вознаграждение до 2 миллионов рублей за выявление опасных уязвимостей.

В 2021 году в России появилась официальная площадка для багхантеров BugBounty.ru. В 2022 году при помощи этой платформы VK принял более 750 отчетов и выплатил в общей сумме более 13 млн руб.

Яндекс, Сбербанк, МегаФон, Qiwi и другие крупные компании также активно пользуются программой Bug Bounty. Они регулярно выплачивают вознаграждения за нахождение уязвимостей и ошибок в своих продуктах и приложениях, выявленных исследователями. Таким образом они улучшают свои системы безопасности.

Законопроект о легализации белых хакеров в РФ

В 2022 году Минцифры предложило создать закон о легализации белых хакеров. Тем самым они позволили бы компаниям использовать программу Bug Bounty намного эффективнее. Однако ФСБ и ФСТЭК отклонили инициативу заявив, что любые хакеры должны быть наказаны одинаково в рамках закона. Даже в рамках Bug Bounty белые хакеры будут приравниваться к преступникам и попадать под статью, связанную с «неправомерным доступом к компьютерной информации», а также ряд других уголовных статей.

Это решение накладывает ограничение на использование опытных хакеров в легальных целях, которые могли бы помочь многим компаниям найти и устранить уязвимости в своих продуктах.

Критические уязвимости в российских банках

Рассмотрим случаи, которые, вероятно, могли не произойти, если бы банки практиковали Bug Bounty.

Ошибка приложения банка «Ак Барс»

Россиянин завладел 68 млн рублей при помощи уязвимости в приложении банка «Ак Барс». Из-за программной недоработки при переводе средств на заблокированную карту операция отклонялась, но деньги все равно зачислялись на вторую, не заблокированную карту. За 10 дней клиент банка произвел более 10 000 однотипных операций перевода, тем самым пополнив свой счет на круглую сумму.

Баг в системе «Альфа-банк»

У клиента банка был долг в размере 514 тысяч рублей перед банком «Тинькофф». Последний обратился в суд, после чего клиенту был отправлен исполнительный лист. Также его направили в «Альфа-банк», в котором у должника было 7 счетов. Из-за ошибки системы банка арест наложился на каждый из счетов, тем самым увеличив долг в несколько раз.

На этом клиент не остановился и начал создавать один счет за другим, на каждый из которых накладывался новый арест. В итоге сумма задолженности достигла отметки 87 млн рублей.

Подобные истории выступают в роли показателя, что собственная команда по поиску и устранению критических уязвимостей не всегда эффективно справляется со всеми ошибками. Иногда стоит привлечь сторонних специалистов, или обычных пользователей, которые могут найти неочевидные уязвимости.

 


Bug Bounty — сильный инструмент в руках любой компании. Он помогает устранять уязвимости и порой экономить бюджет. Но стоит помнить, что поиск и устранение ошибок исключительно внешними ресурсами не будет максимально эффективен.

Достигнуть наилучших результатов поможет создание собственного отдела информационной безопасности, который будет искать уязвимости самостоятельно, а также реагировать на отчеты участников программы Bug Bounty.