17 марта 2022 года изданию «Коммерсантъ» стало известно о том, что международная платформа по поиску уязвимостей HackerOne не выплатила белорусскому хакеру 25 тыс. долларов. Эту сумму он должен был получить за найденную уязвимость по программе Bug Bounty (BB). Политика компании HackerOne объясняется тем, что хакер находится в зоне санкций.

«Хакеры из зон санкций теперь не могут участвовать в финансовых трансакциях, поэтому вознаграждения за найденные ими уязвимости будут перенаправлены ЮНИСЕФ (Детский фонд ООН)», — написал у себя в Twitter Мартен Микос (Marten Mickos), генеральный директор платформы HackerOne. А уже к концу марта 2022 года, по данным нескольких отечественных ИБ-экспертов, всех российских и белорусских хакеров удалили из HackerOne.

Кому и зачем все это надо?

Аналитики издания TAdviser.ru заявляют, что по программе Bug Bounty в России работают «Яндекс», Ozon, VK и банк «Тинькофф». Большинство из них предлагали выплаты именно через платформу HackerOne. Однако нет худа без добра: очень быстро процессы импортозамещения проникли и в эту сферу ИБ.

«Расценки отечественных платформ уже сейчас достойны даже по международным меркам, поэтому специалисты, которые будут искать уязвимости, “должны подобраться весьма профессиональные”», — отметил 30 марта 2022 года в комментарии изданию RB.ru коммерческий директор компании «Код безопасности» Федор Дбар. Максимальная сумма вознаграждения за критичную уязвимость в одной из апрельских программ составила уже 3 млн рублей.

Так что же такое Bug Bounty и почему вокруг нее разгорелись столь нешуточные страсти? Среди пользователей портала habr.ru распространено мнение, что это некий свод правил «взаимодействия» с информационными ресурсами компании. Обычно в него входят регламент проведения программы, перечень ресурсов, описание принимаемых уязвимостей, размеры вознаграждения. В классическом исполнении это описание того, что можно «ломать» и сколько багхантер получит за ту или иную уязвимость.

Сергей Гилев, руководитель отдела анализа защищенности Angara Security, продолжил: «В первую очередь участие во все этом может быть интересно потому, что участие в Bug Bounty не ограничено по времени. Известный факт, что покупаемые услуги по тестированию на проникновение или Red Team Operations имеют временные рамки — как минимум срок действия договора на оказание услуг есть всегда. При этом, пока ты являешься участником программы Bug Bounty, перечень твоих опубликованных для программы систем доступен к исследованию 24/7. Во-вторых, квалификация исследователей не ограничена в компетенциях и в уровне экспертизы, в отличие от нанятой команды пентестеров. Я не говорю о том, что Bug Bounty лучше классических тестов на проникновение (пентестов), на нашем рынке есть достойные команды пентестеров, которые за короткое время могут показать первоклассный результат. Но различия в подходах очевидны. Наконец, вы сами можете устанавливать размер вознаграждения за найденные уязвимости разного уровня критичности. И если в случае с тем же пентестом вы платите по договору фиксированную стоимость, то в Bug Bounty оплата происходит только за найденные и подтвержденные уязвимости. Конечно, нужны ресурсы для обработки входящего потока обращений и на подтверждение наличия уязвимости, но при высоком уровне зрелости ИБ в компании эти затраты не будут заоблачными».

Когда Bug Bounty реально нужна?

Несмотря на перечисленные достоинства, представитель компании Angara Security назвать Bug Bounty «серебряной пулей» не может: «Скажем, открывать для программы системы, которые ни разу не проходили тестирование на проникновение, опрометчиво, а на вознаграждения можно потратить сильно больше бюджета, чем на пару-тройку хороших пентестов. Но, повторю, при достаточной зрелости ИБ-процессов это может стать хорошим дополняющим решением с точки зрения повышения уровня ИБ в компании».

Если в случае с пентестом вы платите по договору фиксированную стоимость, то в Bug Bounty оплата происходит только за найденные и подтвержденные уязвимости

В чем-то схожее мнение высказал Алексей Антонов, управляющий партнер Swordfish Security: «Bug bounty в целом как подход к обеспечению безопасности приложений и инфраструктуры был всегда достаточно спорным. Ведь что это такое, по сути? Организация размещает, к примеру, какое-то приложение на специальной площадке для BB, привлекает специалистов для поиска уязвимостей за вознаграждение. Таким образом, имеется некоторая платформа, на которой хакеров состыковывают с компаниями, т.е. некая биржа. Она отвечает за поднятие рейтинга организаций, привлекающих ИБ-общественность к обеспечению безопасности своих разработок, а также дает хакерам понятные цели. Кроме того, на организаторах — понятный и правильный процесс поиска и выдачи вознаграждения. Ведь обнаруживаемые баги не всегда можно оценить однозначно, и платформа выступает в качестве рефери при разрешении споров». 

При этом компания, затевающая ВВ, получает информацию об имеющихся у нее проблемах безопасности. Конечно, это помогает справиться с крупными багами, но разную «мелочь» хакеры могут просто обойти вниманием и не учесть (не так важно для получения приза). В таком случае о полноте обнаружения говорить не приходится. 

«Здесь есть еще один важный момент, — уточнил Алексей Антонов. — Если организация, запускающая ВВ-программу, большая и известная, к ней пойдет много участников. Ведь и суммы призов тоже внушительные, и престиж играет большую роль. А если организация небольшая и не может выделить крупные суммы для победителей, гарантировать интерес к ней не сможет даже самая раскрученная площадка. А самостоятельная организация процесса и продвижение могут обернуться крупными расходами. И, конечно, экономическая эффективность может оказаться под вопросом. Поэтому сейчас российские организации готовятся представить свои аналоги — ВВ-площадки, однако репутацию им еще придется нарабатывать не один год».

О дополнительных плюсах ВВ напоминает Александр Борисов, руководитель направления анализа защищенности ГК Innostage: «Bug bounty — очень хорошая и популярная практика для выявления уязвимостей. Сегодня многие крупнейшие корпорации берут на вооружение этот инструмент. Для компаний использование программ для багхантеров может быть интересно по многим причинам. Во-первых, это выгодно с экономической точки зрения относительно найма и содержания большой команды по информационной безопасности. Во-вторых, можно найти экспертизу, которую сложно получить к себе в штат. Какой бы ни была крутой команда по ИБ, в любом случае на стороне найдутся компетенции, которые конкретно в данный момент не закрыты в компании. Третий очевидный плюс заключается в переманивании в легальное поле так называемых серых шляп —хакеров, которые могут работать как в этичном, так и в нелегальном поле в зависимости от того, что выгоднее».

Что нужно знать еще?

Распространено мнение, что багхантеры редко находят действительно сложные и критичные ошибки в работе продукта. 

Сергей Гилев размышляет: «Отчасти согласен с этим мнением, как и с тем, что оно не является показателем неэффективности такого подхода. Оно скорее говорит о том, что опубликованные в программе системы уже достигли определенного уровня зрелости, и найти в них действительно критические уязвимости довольно сложно. В то же время, если за критические уязвимости владелец исследуемых систем готов заплатить кругленькую сумму, это может мотивировать участников-исследователей тщательнее подходить к процессу. Если посмотреть на опубликованные тикеты на известных платформах Bug Bounty (HackerOne, BugCrowd), то там можно наблюдать большое количество найденных критических уязвимостей».

«И да, и нет, — поделился своим мнением на этот счет Алексей Антонов. — Как ищут ошибки безопасности в продукте? Используют разные подходы и точки зрения, анализируют взаимодействие с другими системами. Приложения, например, глубоко смотреть багхаунтер не будет, поэтому не увидит специфические вещи в бизнес-логике или в дизайн-ревью. По опыту, могу с уверенностью сказать, что запуск ВВ (по классическим методологиям это тоже так) эффективен в качестве последнего этапа процесса безопасной разработки, уже после того, как выстроен внутренний процесс DevSecOps, когда уже применяется внешний аудит. Вот тогда программа ВВ может принести результаты».

Александр Борисов резюмировал итоги обсуждения: «Достоверных и объемных исследований, на которые можно опереться в данном вопросе не существует. Стоит лишь заметить, что до Bug Bounty чаще всего приложения доходят уже после того, как собственная команда по информационной безопасности проведет свои проверки по выявлению критических уязвимостей и несколько подрядных организаций принесут пустой отчет.

Таким образом, ВВ может и должна использоваться только в сочетании с другими инструментами безопасности, включая тестирование на проникновение, анализ кода и т.д. Применять же только Bug Bounty в качестве эффективного инструмента обеспечения безопасности не имеет смысла.

«Сочетание ВВ с другими технологиями может быть также оправдано, когда исследуемая система не претерпевает масштабных изменений и последние два, три, пять тестов на проникновение не показали наличия каких-либо критичных уязвимостей. В таком случае Bug Bounty даст возможность не конкретной команде, а целому сообществу исследователей искать эти уязвимости. Либо же наоборот, когда исследуемая система настолько масштабна и динамична, что покрыть ее всю одним пентестом нереально. Тогда можно перед вводом в эксплуатацию провести первичный анализ защищенности, чтобы закрыть явные недостатки безопасности, а остальное отдать в руки свободных исследователей. Тем самым можно ускорить процесс нахождения уязвимостей и оптимизировать процесс устранения выявленных дыр в безопасности», — добавил Сергей Гилев.

Что говорят юристы?

Хакеры, которых принято называть серыми шляпами, называются серыми, так как никто и ничто не гарантирует того, что эти люди не совмещают противоправные взломы IT-систем и участие в легальных программах Bug Bounty. Никто не гарантирует и того, что полученные в ходе Bug Bounty данные не будет использоваться как-то иначе, чем это задумывалось организаторами той или иной программы.

Мировой опыт имеет как минимум два варианта удержания «серых шляп» и аналогичных сообществ исследователей от противоправных действий. 

Во-первых, это материальные стимулы. Потери мировой экономики от кибератак настолько велики, что небольшая доля этих потенциальных убытков, потраченных на Bug Bounty, может предотвратить гораздо большие потери. Например, размер одной из самых крупных наград составил 200 тыс. долларов: так компания Microsoft поблагодарила «белого» хакера за найденную уязвимость в Hyper-V, системе аппаратной виртуализации для x64-систем. Компания Apple однажды выразила готовность заплатить 1 млн долларов за сообщения об уязвимостях, с помощью которых злоумышленник мог осуществить сетевую атаку без участия пользователя, позволяющую выполнить код на уровне ядра.

Во-вторых, хакеры — тоже люди и чтут разного рода кодексы. Но можно ли после февраля 2022 года еще говорить о «кодексе этичных исследователей» в мировом масштабе?

Алексей Антонов утверждает: «Да, вопросы этики в рамках ВВ всегда стояли достаточно остро. Компания, которая открыто приглашает хакеров к поиску своих проблем, всегда может столкнуться с ситуацией, когда те обнаружат критическую уязвимость и потом просто продадут ее на сторону. Гарантий здесь быть не может. Что касается текущей ситуации, конечно, риски еще выросли. Сегодня это меньше связано с деньгами и больше — с этикой. На ресурсы в РФ теперь можно нападать, это даже поощряется. Обычная шкала этичности здесь больше не применяется».