Bug Bounty или особенности работы с независимыми IT-энтузиастами

Ущерб мировой экономики от кибератак за 2021 год составил $9 трлн. По прогнозам Cybersecurity Ventures, эти цифры продолжат расти. Число хакерских атак во всём мире постоянно увеличивается: если в 2016 году они совершались раз в 40 секунд, то в 2020 году — каждые 14 секунд. На фоне постоянного возникновения новых и усложняющихся угроз повышается спрос на различные инструменты и услуги в области кибербезопасности, вслед за чем появляются инновационные решения и методы борьбы с кибератаками. Одним из таких решений стали программы Bug Bounty.

Что это за программа, как она работает и какую роль в ней играют IT-энтузиасты при решении проблем безопасности на государственном уровне, редакция Bluescreen.kz узнала у коммерческого директора "Лаборатории Касперского" в Центральной Азии Валерия Зубанова.

Валерий, давайте по порядку, что такое Bug Bounty?

Bug Bounty — это концепция и программа поощрения поиска ошибок и уязвимостей (багов) в ПО. Bug Bounty, как правило, запускают разработчики IT-решений и сетевых платформ, чтобы обнаружить проблемы в безопасности своих продуктов. Компании объявляют scope (объем) работ, а желающие из любой точки мира могут зарегистрироваться и принять участие в программе.

Обычно сторонние энтузиасты (ресечеры) получают денежное вознаграждение (баунти) за сообщение об ошибках, но иногда в качестве поощрения могут выступать доступ к платному онлайн-сервису или признание в профессиональном сообществе. Известно, что программы Bug Bounty реализованы такими организациями как Facebook, Google, Apple, Microsoft и другими.

Есть ли у "Лаборатории Касперского опыт создания платформ Bug Bounty?

"Лаборатории Касперского" запустила собственную программу Bug Bounty еще в 2016 году в партнёрстве с известной платформой HackerOne. В её рамках мы обозначаем скоуп продуктов и решений для тестирования, который постепенно расширяется. Также в 2018 году "Лаборатория Касперского" объявила о готовности выплатить 100 тысяч долларов за наиболее критичные уязвимости (к слову, за почти 4 года не было получено ни одного подобного отчёта). Всего же с марта 2018 года был обнаружен 131 баг, авторы 53 отчётов получили вознаграждение, а общая сумма баунти составила 75 750 долларов. За несколько лет реализации программы Bug Bounty в ней приняли участие несколько десятков ресечеров. Самых результативных и получивших наибольшее вознаграждение можно увидеть на странице программы. У нас даже есть свои звезды.

Серьезные уязвимости, найденные сторонним ресечером в продуктах компании, были выявлены Wladimir Palant. В целом, можно сказать, что Bug Bounty помогла устранить проблемы в наших продуктах и сделать решения еще более функциональными и безопасными. Например, был кейс устранения уязвимости в функционале проверки web-трафика на наличие в нем вредоносных ссылок (при просмотре web-страниц продукт анализирует все ссылки на открываемых страницах с целью их проверки на phishing и прочее). В данном случае ресечер получил за выявленные проблемы несколько тысяч долларов. Кстати, точная сумма поощрений разглашается только по обоюдному согласию между ресечером и компанией.

Валерий, расскажите о других особенностях работы с независимыми IT-энтузиастами.

Организациям и компаниям, которые стремятся улучшить безопасность своих продуктов и систем и привлечь ресечеров, необходимо понимать несколько важных нюансов. Область поиска уязвимостей все еще недостаточно регулируется на уровне законодательств, то есть очень часто нет юридического понимания и точного ответа, что можно проверять на уязвимости, что — нельзя, какая ответственность может наступить после и какие законы будут применяться.

К счастью, ситуация меняется во многих регионах, но всё же большинство ресечеров опасаются уголовной или административной ответственности и предпочитают оставаться анонимными. Поэтому не стоит ожидать от ресечеров полной открытости (данных об имени, гражданстве, местонахождении) — вполне нормально, что они используют nicknames. Единственное исключение — ресечеры, работающие от лица каких-либо компаний, занимающихся поиском уязвимостей (и таким примером является "Лаборатория Касперского"). Они обычно представляются полностью.

Какова главная мотивация ресечера?

Были проведены исследования/опросы, которые показывают, что главная мотивация ресечера рассказать о найденной уязвимости — "построить" свое имя в индустрии. Поэтому чем больше известности и признания ресечеры получат за найденную проблему, тем более привлекательным будет для них поиск уязвимостей. Это необходимо иметь ввиду тем, кто только начинает процесс развития своих Bug Bounty: публичное подкрепление ответственного поведения ресечеров — это важный аспект для успешности самой программы (чтобы информация об уязвимостях не оказывалась на нелегальном рынке, а сообщались вендорам).

Ресечеры любят открытую и быструю реакцию на свои репорты, поэтому важно заранее выстроить процесс, распределить ответственность и определить жесткие SLA. Если это отсутствует, ресечеры вряд ли будут мотивированы координировать свои действия и не будут ждать очень долго, пока им ответят. А время — важно, поскольку здесь речь идет о безопасности пользователей.

Валерий, расскажите о новом векторе развития, который получила концепция Bug Bounty?

В последнее время различные государственные ведомства, чья деятельность связана с кибербезопасностью, всё чаще стали запускать свои открытые программы Bug Bounty. Например, на международной платформе Bug Bounty HackerOne о старте своих программ объявляли Национальный центр кибербезопасности Великобритании, Министерство внутренней безопасности США и Государственное технологическое агентство Сингапура.

Буквально на днях был подписан меморандум для создания Bug Bounty в Кыргызстане. В соглашении участвуют сразу три организации — "ЦАРКА", "Лаборатория Касперского" и Координационный центр по обеспечению кибербезопасности республики. Какие были предпосылки для этого?

Финансовый сектор остается одной из самых привлекательных целей для киберпреступников. Жертвами финансовых вредоносных программ становятся и компании, и физические лица. По нашим данным, в 2020-2021 годах в мире доля корпоративных пользователей, атакованных банковскими зловредами, выросла почти на 2 процентных пункта. При этом, с 2018 по 2021 годы данный показатель увеличился почти на 14%. Несмотря на эту тенденцию, общая доля пострадавших от финансового вредоносного ПО среди физических лиц всё ещё больше, чем в корпоративном секторе: 62% и 38% соответственно.

В Кыргызстане ситуация схожая: почти каждый 67-й пользователь подвергался атакам финансового вредоносного ПО. На корпоративных клиентов в стране пришлось 26,5%. Остальные угрозы (73,5%) были направлены на частных пользователей, совершающих банковские и финансовые операции. Объединение усилий крупнейших игроков IT-отрасли и обмен сведениями в рамках меморандума помогут быстрее и эффективнее выявлять компьютерные инциденты в Центральной Азии и пресекать деятельность киберпреступников.

Какие договоренности были достигнуты?

Цель соглашения — совместные действия по созданию платформы Bug Bounty для защиты информационных ресурсов в Кыргызстане, в перспективе — во всей Центральной Азии. Первыми участниками программы станут банки. Кстати, уже известна сумма вознаграждения (баунти) за поиск и обнаружение эксплойтов и уязвимостей в размере от 100 до 300 долларов в зависимости от сложности угроз в банковских системах.

Также среди намерений сторон — совместное взаимодействие в части серверного и программного обеспечения, аутсорсинг информационной безопасности, сотрудничество в области компьютерной криминалистики, консультативная поддержка и разработка совместных проектов. Создание платформы Bug Bounty участниками меморандума стало продолжением международного опыта. Повышение прозрачности, а также сближение интересов пользователя, бизнеса и государства даёт возможность разным частям общества стать активными участниками создания безопасной экосистемы, в том числе в финансовой сфере.

Валерий, и в завершении — что бы вы могли посоветовать начинающим ресечерам?

Начинать можно с поиска простейших уязвимостей. Это поможет набраться опыта и подготовиться к работе в реальной среде. Еще один совет — никогда не прекращайте учиться. Threat landscape и технологии постоянно меняются и нужно обладать самыми актуальными знаниями, чтобы находить угрозы. Важно не ограничивать свою деятельность одной областью, быть мастером на все руки, к примеру, областью поиска уязвимостей может быть не только веб-сайт, но и мобильное приложение, приложения для компьютера (desktop applications). И, конечно, я рекомендую читать статьи опытных ресечеров и учиться применяемым ими техникам.