Bug Bounty: заработай на чужих ошибках. Bug bounty что это?

В 2018 году компания HackerOne провела опрос и выяснила, что большинство исследователей безопасности находят баги и уязвимости в качестве хобби, а не основной работы. В основном они занимаются этим в свободное время.

Bug Bounty: заработай на чужих ошибках

В этой статье я расскажу о программах bug bounty, их преимуществах и недостатках, а также о том, как они приносят прибыль.

Давайте сначала определим, что такое Bug Bounty: это программа, которая выплачивает вознаграждение за выявление проблем безопасности в сервисах и приложениях. На русский язык более точным является перевод «Bug Bounty».

Другими словами, это набор правил «взаимодействия» с информационными ресурсами компании. Обычно он содержит правила программы, список ресурсов, описание уязвимостей, которые необходимо использовать, и размер вознаграждения. Классический вариант — это описание того, что можно «эксплуатировать» и сколько получает охотник за жучками за конкретную уязвимость.

Вот как Bug Bounty выглядит со стороны. Что получает компания от этого? Во-первых, непрерывный процесс «стресс-тестирования»: эксперты с разными знаниями, инструментами и часовыми поясами постоянно взаимодействуют с ресурсами компании. На стороне компании активируются ресурсы:

• мониторинг систем;
• реагирование и обработка репортов;
• баг-фиксинг (быстры или не очень).

Bug Bounty плюсы и минусы

Давайте теперь рассмотрим преимущества и недостатки программ «bug bounty».

Очевидные преимущества:

• непрерывность процесса тестирования;
• стоимость (выплаты вознаграждений будут меньше стоимости наемных специалистов);
• большое покрытие.

Очевидными недостатками являются:

• большое количество дублей;
• огромное количество отчетов сканеров (фолсов);
• узкая направленность;
• оспаривание и «доказательства» уязвимостей.

Многие охотники за ошибками, участвующие в программах bug bounty, часто ограничиваются своими «коронными» фишками и не исследуют ничего другого, или вместо этого выставляют на сканеры все подряд в надежде что-то найти. Это приводит к разнообразному, но неполному подходу к аудиту. Кроме того, огромное количество ошибок сканера может обременить команду разработчиков ненужной работой (это и дополнительное тестирование и обратная связь по каждому отчету — которых может быть множество).

Открытые программы

Большинство компаний работают на платформах-агрегаторах, таких как HackerOne или BugCrowd.

Многие российские компании открыли свои проекты и профили на HackerOne. Среди них такие компании, как: Яндекс, Майл.ру, QiWi, Вконтакте и многие другие. Излишне говорить, что даже Пентагон имеет свою собственную программу «bug bounty» (взломать Пентагон, получить деньги и остаться на свободе — мечта любого хакера, но уже суровая реальность).

Средняя выплата составляет от $200 до $1000, в зависимости от уязвимости и места ее обнаружения.

Например, вот оценка стоимости уязвимостей, обнаруженных в Bug Bounty — Яндекс:

• A01. Инъекции 170000 руб. (критичные сервисы); 43000 руб. (прочие сервисы).
• A02. Межсайтовый скриптинг – A05. Межсайтовая подделка запросов 17000 руб. (критичные сервисы); 8500 руб. (прочие сервисы).
• A06. Ошибки конфигурации веб-окружения – A10. Открытое перенаправление 8500 руб.(критичные сервисы); 5500 руб. (прочие сервисы).

Что такое баг баунти

Bug Bounty — это общий термин для программ вознаграждения за обнаружение ошибок и уязвимостей. Компании разного уровня заинтересованы в том, чтобы хакеры не использовали уязвимости для собственного обогащения, а отправляли им отчеты и

В случае с ошибкой Telegram «белые» хакеры выбрали другой путь. Это стоило им больших денег и тысяч жалоб от недовольных клиентов, которым Messenger вернул подписку в конце октября.

Программы «bug bounty» в основном проводятся крупными ИТ-компаниями, заинтересованными в поддержании своей репутации и защите персональных данных своих клиентов от утечек. Например, платежный сервис VK Pay выплачивает до 1,8 миллиона рублей за различные виды нарушений безопасности. В программе четко описаны критерии приема отчетов, аналитики и других данных.

Подобные программы есть у Google, Facebook*, Amazon, Discord, Microsoft и других брендов. Работать с ними выгоднее, чем с местными компаниями, так как шансы получить вознаграждение за успешное принятие отчета гораздо выше.

Человек без технического образования может подумать, что компании платят только за критические уязвимости и что невозможно повторить результаты опытных коллег. В действительности, вам не нужно знать Python, JavaScript или другие языки программирования, чтобы зарабатывать деньги с Bug Bounty. Достаточно базовых знаний таких инструментов, как анализаторы кода, и понимания того, как работают различные типы уязвимостей.

Один из охотников за ошибками, опрошенный Skillbox, отметил, что хотя он умеет писать базовый код, даже этот уровень знаний гарантирует, что приглашения присоединиться к закрытым программам, таким как Bug Bounty, не будут приняты случайными людьми.

Некоторые из задач, связанных с поиском уязвимостей, можно автоматизировать. Эксперты по безопасности обращаются к таким анализаторам кода, как PVS-Studio, для поиска ошибок и уязвимостей.

Какие навыки нужны для поиска багов?

Компании больше заинтересованы в устранении критических ошибок. Они готовы платить за это много, но новичкам будет трудно их найти. Однако не стоит отчаиваться, даже на небольших уязвимостях можно заработать.

Например, хакер нашел небольшую уязвимость в параметре utm_source в конструкторе интернет-магазинов Shopify, что позволило ему украсть куки пользователя или создать фишинговую страницу. Компания решила, что проблема не повлияла на конфиденциальность, но выплатила вознаграждение в размере 700 долларов.

Пример Shopify наглядно показывает, что заработать на устранении неполадок можно и без знания языка программирования. Знания того, как работают сетевые протоколы, достаточно для обнаружения уязвимостей межсайтового скриптинга (XSS).

Компании заинтересованы в работе с каждым уровнем отчетности об уязвимостях, но есть две ключевые метрики, которые влияют на их оплату:

Ea

Существует большой интерес к Bug Bounty как к прибыльному инструменту, но статус СМИ в секторе СНГ невысок. Поэтому многие пользователи даже не подозревают, что можно зарабатывать деньги на поиске ошибок и уязвимостей в системе безопасности.

Есть сайты гражданского класса, которые существуют уже более 10 лет и успешно находят общий язык между исследователями безопасности и компаниями. Новичкам обязательно стоит добавить их в список своих ежедневных ресурсов.

1. Возможность повторения сценария атаки.
2. Влияние на стабильность проекта.

На какие ресурсы вам следует обратить внимание:

Мониторинг страниц профиля поможет вам быстро обнаружить новое программное обеспечение и быть в числе первых исследователей безопасности, которые раньше других найдут уязвимости.

Ресурсы для охотников за жуками также помогают развивать навыки. Вы можете проанализировать типы уязвимостей, которые выявляют опытные эксперты, и извлечь уроки из их опыта, чтобы добиться аналогичных результатов в будущем.

Мои 3 лучших сайта для поиска багов:

Где искать программы баг баунти?

Они глобальные, но в СНГ, на мой взгляд, лучше всего работает Standoff365.

Это не всегда наиболее выгодно, но это, вероятно, единственный способ легко, правильно и без последствий устранить уязвимость и получить за это вознаграждение.

В моей практике, когда я приглашал фасилитатора, он всегда был на моей стороне. Я начинал спорить только тогда, когда был уверен в своей правоте. Не в интересах сайта портить отношения с кем бы то ни было, поэтому он старается делать все по-честному. Обычно можно сразу определить, кто прав, а кто нет.

1. HackerOne. Самая популярная платформа с большим каталогом Bug Bounty программ. С помощью нее этичные хакеры могут отправить отчет об уязвимостях, а компании — отреагировать на них.
2. Bugcrowd. Краудсорсинговая платформа работает в 30 странах мира. В каталоге доступно 332 программы от проектов разного уровня.
3. HackenProof. Сервис для поиска уязвимостей в криптопроектах. С помощью него хакеры отправили более 7 1000 отчетов на сумму 842 000$.
4. Standoff 365. Свежая платформа с упором на рынок СНГ. Ее можно назвать мини-соцсетью для багхантеров. Здесь есть каталог программ, профили хакеров, рейтинг пользователей и другие фишки.

Компания не может просто отказаться платить за уязвимость. Если хакер делает отчет в соответствии с указаниями программы, то оплата должна быть произведена. Если хакер использует уязвимость или передает подробности в СМИ, это уже другой вопрос — тогда он может не получить денег. Я никогда не видел такого судебного дела.

Инициатива Bug Bounty дает возможность каждому принять участие в поиске уязвимостей определенного типа. Эти поиски проводятся на продуктах или инфраструктурах, которые предоставляются клиенту для тестирования. Такие программы обычно рекламируются на специализированных рынках, которые выступают в качестве посредников между хакерами/исследователями и клиентами.

«Исследователю предоставляется описание политик, список правил, описание того, что можно и что нельзя делать с инфраструктурой и приложениями. Руководство описывает, как хакер может добраться до «объекта» и что он может сделать/сломать» (Ярослав Бабин).

Если вы согласны с этими рекомендациями, задача может быть выполнена в разумные сроки. При обнаружении ошибки на сайт должен быть отправлен отчет. Клиент проводит анализ, оценивает уровень обнаруженной угрозы и вносит плату.

Цены на жучков известны заранее. Деньги получает только тот хакер, который первым сообщил об уязвимости.

«Участие в программах bug bounty характерно для крупных компаний с развитыми процессами ИБ, согласованными политиками и внутренними правилами. У небольших компаний нет бюджета для привлечения хакеров» (Лука Сафонов).

Участие в таких инициативах не является заменой для компаний, использующих другие методы оценки безопасности.

Что такое программа Bug Bounty?

Появление опции Bug Bounty отражает приверженность современным подходам к управлению ростом и уровень рыночной культуры, которого достигла компания. Участие позволяет собрать поток информации об ошибках и исправить их заранее, не причиняя большого вреда.

«Участие в таких программах положительно влияет на формирование имиджа. Она формируется в профессиональных кругах, на форумах. Это своего рода маркетинг в профессиональной среде» (Дмитрий Шмойлов).

Появление инициатив Bug Bounty можно объяснить общими причинами. «Как показывает практика, участие отдельных хакеров в поиске багов часто приводит к шантажу с их стороны. Кто-то что-то находит и требует немыслимые суммы за информацию, которую он не хочет раскрывать заранее. В противном случае он угрожает распространить информацию об ошибке на всех форумах и каналах Telegram, высказывая угрозы и не предоставляя достоверной информации о найденной уязвимости. В такой ситуации невозможно проанализировать и определить реальную стоимость» (Лука Сафонов).

Без программ «bug bounty» мы не можем рассчитывать на высокую хакерскую культуру. Она формируется под влиянием этих инициатив. До них поведение хакера определяется тем, что даже если у него в руках настоящий жучок, у него нет гарантии, что ему заплатят за работу. Более того, любая попытка оказать давление на руководство или угроза раскрыть информацию об уязвимости, если обещанный платеж не будет произведен, карается как вымогательство. Это уже является уголовным преступлением.

Кто становится заказчиком программ Bug Bounty?

«Появление Bug Bounty становится катализатором развития культуры на рынке. Эти сайты привлекают опытных специалистов по безопасности, которые могут найти здесь интересную работу» (Ярослав Бабин).

Это также выгодно для компаний. Вместо того чтобы получать информацию о случайных, спорадических ошибках, он создает поток полезной информации. Он позволяет вам обрести уверенность в создаваемом продукте, стимулирует создание процессов в вашей компании и проведение всестороннего анализа. Это помогает выявить большинство ошибок на ранней стадии и устранить системные ошибки.

Рисунок 1: Оценка уязвимости продукта с помощью Bug Bounty.

В последнее время участились сообщения о хакерских атаках на крупные компании. Согласно исследованию Cybersecurity Ventures, международного эксперта по информационной безопасности, в 2019 году каждые 14 секунд происходила кибератака. Cybersecurity Ventures также сообщает, что сумма глобальных убытков от кибератак может достичь 6 триллионов долларов к 2021 году.

Как обезопасить свой бизнес и предотвратить киберпреступления в будущем

Почему нельзя просто привлечь экспертов по безопасности?

Компания может осуществить такой проект самостоятельно, организовав все процессы и взаимодействия внутри компании. Публикация информации на веб-сайте: Призыв к участию, форма и размер взноса, контактная информация. Кроме того, вы можете напоминать своим клиентам о Bug Bounty с помощью маркетинговых рассылок. Компании часто раздают товары, скидки на свою продукцию или сертификаты за обнаружение некритичной ошибки.

Альтернативой может стать внутренняя программа Bug Bounty: В этом случае ориентируйтесь на сотрудников компании — лояльную и заинтересованную целевую группу. Заранее предлагайте сотрудникам подарки и/или премии за найденные ошибки.

Другой вариант — размещение рекламы на специальных платформах. На каждой из этих платформ существует целое сообщество «белых шляп» хакеров. Они предоставляют компании отчеты с описанием найденных уязвимостей, а иногда и мер, которые необходимо предпринять для их устранения.

Если вы решили работать с платформой «баг баунти», вот несколько рекомендаций от экспертов Timeweb. Мы начали использовать Bug Bounty около года назад и продолжаем работать с охотниками за ошибками на одной из платформ. За это время мы получили около 70 сообщений и устранили несколько критических уязвимостей.

Прежде чем запускать программу, вы должны попытаться самостоятельно найти все возможные уязвимости. После этого вы можете связаться с bughunters. Конечно, нереально найти все ошибки самостоятельно. Поэтому рассматривайте Bug Bounty как дополнительный способ поиска уязвимостей.

Программа Bug Bounty: как «белые» хакеры могут помочь вашему бизнесу

Но действительно ли стоит использовать Bug Bounty? Насколько он эффективен? Готовы ли ваши продукты к нападению орды голодных охотников за головами? Существуют и другие способы извлечения максимальной пользы из уязвимостей.

Например, вы можете расширить полномочия своего отдела безопасности. Этот вариант, вероятно, дешевле, но уязвимостей будет найдено меньше, чем при использовании программы «bug bounty». Вы также можете нанять внешние организации для проведения аудита. Так вы сможете найти нестандартные, более сложные проблемы.

При работе с платформами bug bounty и охотниками за ошибками удельная стоимость одной уязвимости дороже по сравнению с другими вариантами, но и сложность найденных ошибок здесь также выше.

Это необязательно, но было бы очень полезно проанализировать все существующие проблемы перед началом проекта. Вы также можете сэкономить деньги, если проведете внешний аудит.

Способы запуска программы Bug Bounty

Теперь, когда мы приобрели опыт работы с Bug Bounty, мы рассматриваем возможность запуска программы самостоятельно. Однако на момент запуска никто из нас не знал, как правильно настроить этот процесс, поэтому мы обратились за помощью к платформам Bug Bounty. Проанализировав имеющиеся варианты, мы остановились на том, который подходил нам больше всего, то есть наиболее оптимальном с точки зрения количества охотников за ошибками и стоимости услуг.

Самые популярные платформы «баг баунти»:

Важно знать, что есть в продукте, который вы хотите отдать охотникам за багами: какие проблемы существуют сейчас, какие были, есть ли систематические баги. Имея эту информацию, вы можете сформулировать соответствующий scop, который содержит краткие, но исчерпывающие входные данные и описывает запрос для охотников за ошибками.

В областях мы определяем, за какие ошибки мы получим вознаграждение, какие уязвимости нам уже известны, и как вознаграждение зависит от критичности найденной ошибки и полноты отчета. В совке определяется масштаб вопроса, границы аудита и правила сотрудничества.

Запускаем Bug Bounty на платформе

Подготовка

• Убедитесь, что вы сделали все, что могли

Для того чтобы облегчить компаниям поиск исследователей, а исследователям — поиск интересных проектов bug bounty, существует множество специальных платформ. Существует связь, хакеры отправляют отчеты, а компании выплачивают вознаграждения через эти системы.

• Анализируйте экономическую целесообразность

1. HackerOne — это компания-стартап, которая одной из первых начала продвигать тему безопасности с помощью толпы. В настоящее время это одна из самых популярных платформ для программ «bug bounty». Чтобы участвовать в опросах Bounty Bugs, достаточно зарегистрироваться. Для начинающих проводится бесплатное обучение.

Чтобы получить приглашение на привлекательные частные программы, нужно иметь хорошую репутацию. В HackerOne таким эталоном является репутация, которая начисляется в виде баллов в зависимости от суммы компенсации и критичности уязвимости. В то же время репутация может упасть, если вы отправляете плохие отчеты или спам.

В разделе «Hacktivity» можно изучить последние найденные уязвимости. В профилях компаний также есть раздел «Благодарности», своего рода доска наград.

• Воспользуйтесь услугами внешнего аудита ИБ для одного процесса, продукта или компании в целом

Подробнее обо всех нюансах работы вы можете узнать в документации. Сама платформа HackerOne также может быть проверена на наличие уязвимостей: У него есть онлайн-профиль.

Старт Bug Bounty программы

2. Bugcrowd — довольно популярная платформа, используемая многими известными компаниями. У них есть классификация серьезности уязвимостей, которая используется для оценки и поощрения хакеров. Компаниям не нужно указывать в своих политиках, какие уязвимости относятся к тем или иным уровням серьезности.

Программы обучения здесь рассчитаны скорее на тех, кто уже имеет опыт работы в области кибербезопасности. Они знакомят хакеров с особенностями работы с Bug Bounty. Курсы состоят из видеоматериалов, подготовительной работы и семинаров по DZ.

1. Hackerone
2. Bugcrowd
3. Synack
4. HackenProof
5. Intigriti
6. YesWeHack
7. Bugbounty Japan
8. Отдельно стоит отметить платформу Open Bug Bounty — некоммерческая Bug Bounty платформа, которая объединяет ИБ специалистов-энтузиастов и популяризирует этичный хакинг. Исследователи могут сообщить о найденном баге в работе любого ПО, за что компании предоставляет вознаграждение (денежные выплаты, мерч, скидки или собственную продукцию). Timeweb предоставляет багхантерам бесплатный хостинг.

• Перелопатьте багтрекер

В профиле организации есть раздел «Объявления», где публикуются обновления на различные темы. Хакеры, представившие хотя бы один соответствующий отчет для этой программы, включаются в «Зал славы».

За хорошие отчеты начисляются баллы. Также есть значки за достижения, как и в игре.

• Потратьте достаточно времени на скоуп

Платформы для взаимодействия хакеров и компаний

Значки зарабатываются на каждом уровне по количеству представленных отчетов и выявленных уязвимостей.

Подробную информацию о том, как использовать Bugcrowd, можно найти здесь.

3. платформа Synack, которая автоматизирует поиск уязвимостей, которые могут быть использованы независимыми хакерами для дальнейшего расследования. В отличие от предыдущих платформ, здесь хакеры проходят тщательную проверку. Только 10% претендентов попадают в красную команду. Подробнее о процессе отбора. Кроме того, у них есть небольшое руководство для этичных хакеров.

4. Intigriti — европейская платформа. Прежде чем зарегистрировать учетную запись, следует внимательно ознакомиться с положениями и условиями. Для обучения создатели платформы предлагают анимированный видеокурс по различным уязвимостям, а также руководство по составлению отчетов и подборку хакерских инструментов. Исследователи с наилучшими результатами публикуются в «рейтинговом списке».

В программах Bug Bounty большинство компаний определяют:

Проблема должна быть решена в последний

Раньше Telegram проводил хакерские конкурсы, но в сервисе также есть программа «bug bounty». Если вы находите уязвимости в приложении или протоколе, которые приводят к изменению кода, служба платит вам от $500 до $100 000 и более.

У них есть закрытая программа, но вы можете проводить расследования и отправлять отчеты, которые могут быть одобрены или не одобрены. Он запрещает использование инструментов автоматического сканирования и тестирование DoS-атак.

Излагает особенности тестирования различных продуктов. Заряды до 15 000 долларов США. Невозможно отправить в службу поддержки вопросы об обнаруженных уязвимостях. Это прерывает работу.

Заинтересован в поиске уязвимостей только на сайте app.clickup.com. Имеются данные пользователя. Перечислены релевантные и нерелевантные уязвимости. Вы можете получить вознаграждение только в том случае, если вы не являетесь жителем страны, против которой введены санкции США. Стоимость составляет $25-250.

Вы можете учиться самостоятельно (долго) или на курсах с преподавателями (быстро). Кроме того, не забывайте, что на рынке много мусора, конкуренция выше, а работодатели повышают порог приема на работу. Чтобы идти в ногу со временем, мы предлагаем курсы, предлагаемые академией proglib.academy:

В настоящее время разрабатывается более 10 дополнительных курсов для взрослых и детей.

Какими бывают условия

1. где можно искать уязвимости: веб-приложение, мобильное приложение, определенные домены и др.;
2. размер и условия вознаграждения;
3. требования к специалисту;
4. вопросы раскрытия уязвимости в публичном доступе;
5. проводить атаки можно только на принадлежащие вам аккаунты;
6. по вашему отчету у аналитиков безопасности конкретной компании должно получиться воспроизвести найденные уязвимости;
7. известные ошибки, чтобы минимизировать повторы;
8. раздел safe harbor (юридическое убежище) – условия защиты от ответственности за нарушение законодательства;
9. компаний интересует в первую очередь безопасность данных их пользователей. За нахождения уязвимостей, с помощью которых можно получить доступ к персональным данным, – самое высокое вознаграждение;
10. Социальная инженерия запрещена.

Примеры условий Bug Bounty от известных компаний

Чего ожидать от Bug Bounty

1. Для начала у вас должна быть хотя бы база по кибербезопасности, но даже если вы новичок, многие платформы предлагают бесплатные материалы для обучения.
2. Это совсем не то же самое, что и пентест. Даже если вы уже опытный хакер, все равно придется подучиться.
3. Это удаленная и гибкая работа.
4. Для большинства исследователей это хобби и дополнительный заработок. Только 20% хакеров работают фул-тайм .
5. Вы можете остаться без вознаграждения. Платят только тому, кто первым нашел баг. Если вы пару недель работали над какой-то уязвимостью, но конкурент загрузил отчет раньше, денег вы не получите.
6. Чтобы быть успешным исследователем, сконцентрируйтесь только на нескольких программах (компаниях). Таким образом у вас получится находить более серьезные уязвимости.
7. Качественные отчеты очень важны, ведь через них вы продаете свою работу. От отчета зависит, заплатят ли вам деньги и сколько.
8. Внимательно читайте программы Bug Bounty компаний, если не хотите стать фигурантом уголовного дела!

• Основы программирования на Python.
• Профессия Python-разработчик.
• Алгоритмы и структуры данных.
• Математика для Data Science.
• Профессия Data Science.
• Frontend Basic: принцип работы современного веба.
• Профессия Фронтенд-разработчик.
• Обработка естественного языка. Полный курс.