Взлом. Даже звучит неприятно. Словно злодейски сносишь амбарный замок с характерным бряцанием. Однако определение оказалось настолько ёмким, что легко встроилось в современность. Скажем, новость дня: «компанию Дудл взломали!». И любой человек, даже далёкий от ИБ (да и вовсе от компьютерных технологий) сразу поймёт суть: преступники проникли в виртуальные недра корпорации и что-то украли.
А вы знали, что большие компании сами разрешают себя ломать? И ещё неплохо платят за это «взломщикам»?
Программы по «согласованному» взлому называются Bug Bounty, где «взломщики» получают вознаграждение (то самое «баунти») за найденные «баги».
Баги – с англ. «жучок», а на сленге программистов – ошибка в программе.
А самих «взломщиков» называют багхантерами, исследователями безопасности или этичными хакерами.
Как это работает?
Компании размещают на специализированных Bug Bounty платформах свои сервисы и официально призывают: мы готовы, приходите и ломайте. Там же размещается список политик: описание того, что можно и что нельзя делать. Соглашаясь с этими правилами, охотник за багами выполняет задание в удобное время. Обнаружив ошибку, этичный хакер должен отправить отчёт на площадку. Компания проводит анализ, оценивает уровень обнаруженной угрозы и выплачивает вознаграждение. Расценки по багам известны заранее. Вознаграждение получает только тот хакер, который первым сообщил об обнаруженной уязвимости.
Отдельно стоит отметить, что в больших компаниях на постоянной основе проходят внутренние аудиты по безопасности – пентесты (о них расскажем в новых статьях). Но пентесты проводятся в рамках отведённого времени. Это становится ограничением, которое мешает исследователям добиться адекватной оценки безопасности для своего продукта. Пентесты обычно проводятся там, где компания, условно, «ждёт угрозу». Пентест может проходить с раскрытием технических подробностей приложения. Это создаёт сильный «перекос» в сторону поиска «ожидаемых» багов. Bug Bounty работает иначе – это всегда «чёрный ящик», когда условия похожи на реальный взлом.
Платформы Bug Bounty
Сегодня в России действуют три основные отечественные платформы: Bugbounty.ru, Standoff 365, и BI.ZONE — VK представлена на всех трёх площадках. Они все работают по принципу биржи: компания размещает задания, а этичные хакеры регистрируются как независимые искатели багов и выбирают себе «квест». У каждой из платформ есть свои технологические особенности.
Забавный факт, но иногда причиной выбора для площадки исследователем может стать наличие на сайте внутренней системы рейтинга, где самому лучшему вручается…ачивка, то есть анимированный значок за прогресс или фирменный мерч (например, брендированные рюкзак или одежда).
Платформы Bug Bounty содержат много информации. На них можно найти практически любой вариант поддержки и обучения «молодых охотников» — от форумов и учебных блогов до «информационных табло», на которых отражаются, например, время отклика компании на исследования и средняя сумма вознаграждения за найденные ошибки. Систематизируются и собственные успехи: например, количество найденных ошибок и уровень их серьёзности.
Но если любой багхантер может зарегистрироваться на Bug Bounty, то не любая организация может позволить себе разместиться там:
- компания должна обладать хорошо выстроенной инфраструктурой корпоративной безопасности, иметь чёткий процесс по исправлению ошибок;
- компания готова вкладываться и иметь бюджет на выплату вознаграждения (часто этот пункт является препятствием для небольшого бизнеса);
- компания открыто призывает сообщество тестировать не покладая рук все свои продукты, чтобы стать лучше.