Bug Bounty – 2022/2023: обзор российских платформ для этичных хакеров

Cyber Media разобрался, где сейчас могут заработать «белые шляпы». В материал вошли три площадки: «Киберполигон» компании «Синклит», BI.ZONE Bug Bounty и Standoff 365 от Positive Technologies.

Представление о хакерстве как о профессии не назовешь чем-то новым. Однако за последний год спрос на пентесты и общая внимательность к безопасности ПО подогрели интерес к платформам для поиска уязвимостей.

Сейчас российские багхантеры могут выбирать сразу из нескольких вариантов. Различаются программы размерами выплат, а в том, что касается сервиса, набор у всех схожий. Официальное сотрудничество избавляет исследователя от забот с оформлением деятельности, оплатой налогов, юридическими и бухгалтерскими вопросами. Не говоря уже о правовых рисках — багхантер может не волноваться, что вместо выплаты компания отправит ему повестку в суд.

Итак, куда сейчас идти этичному хакеру?

«Синклит» — «Киберполигон»

В команде «Киберполигона» — много видных специалистов, которых знают и в России, и за ее пределами. Авторы платформы подчеркивают, что они сами действующие белые хакеры, а не «коммерсанты, желающие заработать денег».

Эта площадка долго использовалась в приватном режиме. Когда в 2022 году многие сервисы стали недоступны для российского рынка, платформа стала развиваться публично.

Организаторы помогают хантерам с разрешением формальных требований законодательства РФ: постановка на учет как налоговый агент, объяснение, как дальше с этим работать. Кроме того, компания компенсирует налоги в соответствии со статусом исполнителя — ИП или самозанятый. В спорных ситуациях с заказчиками исследователям гарантируют объективный арбитраж.

Заказчики в свою очередь могут три месяца бесплатно использовать платформу. При необходимости разработчики могут донастроить систему под требования клиента. Программы можно размещать приватно и публично, привлекать ограниченный круг исследователей по выбору заказчика. Разработанный пакет документов учитывает все требования законодательства (ФНС, отчетность, бухгалтерия и пр.).

Помимо прочего, поддержка владельцы платформы безвозмездно поддерживают социально значимые проекты, например «Бессмертный полк».

BI.ZONE Bug Bounty

BI.ZONE Bug Bounty — это хаб, связывающий бизнес и независимых исследователей безопасности. Организации размещают на платформе программы по поиску уязвимостей, а багхантеры участвуют в них.

Платформа предлагает демодоступ, чтобы бизнес мог познакомиться с возможностями сервиса и понять его специфику. Эксперты BI.ZONE помогают компаниям, которые еще не запускали bug bounty, определить скоуп и общие рекомендации, а также составить программу.

BI.ZONE Bug Bounty работает с исследователями как из России, так и из стран ЕАЭС. Благодаря этому участников больше, а значит выше шанс найти критические уязвимости. BI.ZONE решает вопросы по юридическому оформлению сотрудничества с багхантерами и по организации выплат, также компания может взять на себя верификацию отчетов.

Вознаграждения выплачиваются по оферте с тремя возможными статусами: физлицо, самозанятый и ИП. Два последних самые удобные и выгодные для багхантера: налог на выплаты составляет всего 6%. Средства зачисляются автоматически и приходят в среднем через 1–3 дня после подтверждения — это самые быстрые выплаты на российском рынке площадок bug bounty.

На платформе реализована работа с markdown-разметкой для отчетов об уязвимостях. Она уже использовалась на международных площадках: с помощью markdown-разметки удобно создавать отчеты и знакомиться с репортами других исследователей. Однако при подготовке больших отчетов в HackerOne часто возникали критические ошибки. Специалисты BI.ZONE сделали возможным переключаться в режим разметки, чтобы браузер работал корректно.

Еще одно преимущество платформы BI.ZONE — сохранение рейтинга при переходе с международных площадок. Так повышаются шансы получить приглашение в приватные программы компаний.

Сейчас на платформе действует 41 публичная программа, в том числе от VK, «Авито», Ozon и «Тинькофф».

Standoff 365 Bug Bounty

Standoff 365 Bug Bounty — российский агрегатор программ поиска уязвимостей за вознаграждение. Платформа выстроена на базе опыта экспертов, накопленного благодаря проведению компанией Positive Technologies масштабных кибербитв. Баунти-платформа на базе The Standoff 365 призвана не только расширить поддержку бизнеса и государства, но и привлечь людей к участию в социальной инициативе по кибербезопасности. Цель этой инициативы — предоставление возможностей для обучения, профессионального развития и накопления практического опыта на примере реальных, практических задач по безопасности.

За первые полгода работ Standoff 365 от багхантеров было получено 1020 отчетов, найдено и исправлено более 200 уязвимостей, а сумма вознаграждений исследователям превысила 13 млн рублей. По числу участников и программ Standoff 365 Bug Bounty стала лидером среди российских аналогов: на ней зарегистрировалось уже 3500 человек, запущено 42 программы, в том числе «Азбука вкуса», RuStore, «ВКонтакте», «Дзен», Mail.ru, Rambler&Co.

Благодаря работе присутствующих на платформе этичных хакеров компании-участники могут непрерывно оценивать свою защищенность, узнавать об уязвимостях IT-инфраструктуры и оперативно устранять их. Кроме того, площадка позволяет разместить задание на поиск возможности реализовать недопустимое событие — событие, которое привело бы в реальности к критическому ущербу для бизнеса. Компания отмечает, что это уникальный функционал среди подобных платформ.

На счету многих работающих на платформе исследователей — сотни уязвимостей, в том числе с присвоенными CVE. Standoff 365 Bug Bounty не берет комиссии с исследователей и отправляет получателям полную сумму вознаграждений (за удержанием НДФЛ).

В ноябре 2022 года на платформе была запущена первая программа bug bounty нового типа. Она ориентирована на реализацию действительно критичного для компании события: хищения денег со счетов. Исследователю нужно разобраться с тем, как выстроены бизнес-процессы компании, и обойти системы защиты. Разрешено использовать практически любые способы проведения удаленных атак, включая социальную инженерию. Главный приз — 10 миллионов рублей — получит тот исследователь, который сможет нелегитимным способом перевести деньги и предоставит отчет. Программа не ограничена по времени.

Сравнение Bug Bounty площадок

Название	Bug Bounty Ru	Bug Bounty	BI.ZONE Bug Bounty
Вендор	ООО Киберполигон, АО Синклит	Positive Technologies	BI.ZONE
Сайт	https://bugbounty.ru	https://bugbounty.standoff365.com/	https://bugbounty.bi.zone/
Основана	02.2021	05.2022	08.2022
Комьюнити	Телеграм/OWASP	Телеграм/PHD	Телеграм/OFFZone
Количество участников	2000+	3500+ (включая Standoff)	1000+ (включая OFFZone)
Выявленные внешние публичные уязвимости платформы	Нет	XSS	XSS
Рейтинг хантеров	Да	Да	Да
Репутация	Да (только за валидные отчеты), конвертация рейтинга со сторонних площадок	Да	Да (только за валидные отчеты) конвертация рейтинга со сторонних площадок
Средний чек выплат (от общей суммы программ и отчетов по ней)	50.000+	100.000+	Неизвестно
Выплаты	Налоговый агент, автоматически, раз в месяц	Конкурс, период	Возможны физ лицам, самозанятым, ИП. Автоматически, в среднем до 3 рабочих дней

Подведем итоги

Развитие bug bounty — лучшее свидетельство тому, что российская ИБ приобретает все более зрелые черты. Сотрудничество компаний и хакеров приносит бизнесу практическую выгоду здесь и сейчас. В целом же отрасль получает все новые руки и мозги, которые и через годы будут двигать ее вперед.