Cyber Media разобрался, где сейчас могут заработать «белые шляпы». В материал вошли три площадки: «Киберполигон» компании «Синклит», BI.ZONE Bug Bounty и Standoff 365 от Positive Technologies.
Представление о хакерстве как о профессии не назовешь чем-то новым. Однако за последний год спрос на пентесты и общая внимательность к безопасности ПО подогрели интерес к платформам для поиска уязвимостей.
Сейчас российские багхантеры могут выбирать сразу из нескольких вариантов. Различаются программы размерами выплат, а в том, что касается сервиса, набор у всех схожий. Официальное сотрудничество избавляет исследователя от забот с оформлением деятельности, оплатой налогов, юридическими и бухгалтерскими вопросами. Не говоря уже о правовых рисках — багхантер может не волноваться, что вместо выплаты компания отправит ему повестку в суд.
Итак, куда сейчас идти этичному хакеру?
В команде «Киберполигона» — много видных специалистов, которых знают и в России, и за ее пределами. Авторы платформы подчеркивают, что они сами действующие белые хакеры, а не «коммерсанты, желающие заработать денег».
Эта площадка долго использовалась в приватном режиме. Когда в 2022 году многие сервисы стали недоступны для российского рынка, платформа стала развиваться публично.
Организаторы помогают хантерам с разрешением формальных требований законодательства РФ: постановка на учет как налоговый агент, объяснение, как дальше с этим работать. Кроме того, компания компенсирует налоги в соответствии со статусом исполнителя — ИП или самозанятый. В спорных ситуациях с заказчиками исследователям гарантируют объективный арбитраж.
Заказчики в свою очередь могут три месяца бесплатно использовать платформу. При необходимости разработчики могут донастроить систему под требования клиента. Программы можно размещать приватно и публично, привлекать ограниченный круг исследователей по выбору заказчика. Разработанный пакет документов учитывает все требования законодательства (ФНС, отчетность, бухгалтерия и пр.).
Помимо прочего, поддержка владельцы платформы безвозмездно поддерживают социально значимые проекты, например «Бессмертный полк».
BI.ZONE Bug Bounty — это хаб, связывающий бизнес и независимых исследователей безопасности. Организации размещают на платформе программы по поиску уязвимостей, а багхантеры участвуют в них.
Платформа предлагает демодоступ, чтобы бизнес мог познакомиться с возможностями сервиса и понять его специфику. Эксперты BI.ZONE помогают компаниям, которые еще не запускали bug bounty, определить скоуп и общие рекомендации, а также составить программу.
BI.ZONE Bug Bounty работает с исследователями как из России, так и из стран ЕАЭС. Благодаря этому участников больше, а значит выше шанс найти критические уязвимости. BI.ZONE решает вопросы по юридическому оформлению сотрудничества с багхантерами и по организации выплат, также компания может взять на себя верификацию отчетов.
Вознаграждения выплачиваются по оферте с тремя возможными статусами: физлицо, самозанятый и ИП. Два последних самые удобные и выгодные для багхантера: налог на выплаты составляет всего 6%. Средства зачисляются автоматически и приходят в среднем через 1–3 дня после подтверждения — это самые быстрые выплаты на российском рынке площадок bug bounty.
На платформе реализована работа с markdown-разметкой для отчетов об уязвимостях. Она уже использовалась на международных площадках: с помощью markdown-разметки удобно создавать отчеты и знакомиться с репортами других исследователей. Однако при подготовке больших отчетов в HackerOne часто возникали критические ошибки. Специалисты BI.ZONE сделали возможным переключаться в режим разметки, чтобы браузер работал корректно.
Еще одно преимущество платформы BI.ZONE — сохранение рейтинга при переходе с международных площадок. Так повышаются шансы получить приглашение в приватные программы компаний.
Сейчас на платформе действует 41 публичная программа, в том числе от VK, «Авито», Ozon и «Тинькофф».
Standoff 365 Bug Bounty — российский агрегатор программ поиска уязвимостей за вознаграждение. Платформа выстроена на базе опыта экспертов, накопленного благодаря проведению компанией Positive Technologies масштабных кибербитв. Баунти-платформа на базе The Standoff 365 призвана не только расширить поддержку бизнеса и государства, но и привлечь людей к участию в социальной инициативе по кибербезопасности. Цель этой инициативы — предоставление возможностей для обучения, профессионального развития и накопления практического опыта на примере реальных, практических задач по безопасности.
За первые полгода работ Standoff 365 от багхантеров было получено 1020 отчетов, найдено и исправлено более 200 уязвимостей, а сумма вознаграждений исследователям превысила 13 млн рублей. По числу участников и программ Standoff 365 Bug Bounty стала лидером среди российских аналогов: на ней зарегистрировалось уже 3500 человек, запущено 42 программы, в том числе «Азбука вкуса», RuStore, «ВКонтакте», «Дзен», Mail.ru, Rambler&Co.
Благодаря работе присутствующих на платформе этичных хакеров компании-участники могут непрерывно оценивать свою защищенность, узнавать об уязвимостях IT-инфраструктуры и оперативно устранять их. Кроме того, площадка позволяет разместить задание на поиск возможности реализовать недопустимое событие — событие, которое привело бы в реальности к критическому ущербу для бизнеса. Компания отмечает, что это уникальный функционал среди подобных платформ.
На счету многих работающих на платформе исследователей — сотни уязвимостей, в том числе с присвоенными CVE. Standoff 365 Bug Bounty не берет комиссии с исследователей и отправляет получателям полную сумму вознаграждений (за удержанием НДФЛ).
В ноябре 2022 года на платформе была запущена первая программа bug bounty нового типа. Она ориентирована на реализацию действительно критичного для компании события: хищения денег со счетов. Исследователю нужно разобраться с тем, как выстроены бизнес-процессы компании, и обойти системы защиты. Разрешено использовать практически любые способы проведения удаленных атак, включая социальную инженерию. Главный приз — 10 миллионов рублей — получит тот исследователь, который сможет нелегитимным способом перевести деньги и предоставит отчет. Программа не ограничена по времени.
Название |
Bug Bounty Ru |
Bug Bounty |
BI.ZONE Bug Bounty |
Вендор |
ООО Киберполигон, АО Синклит |
Positive Technologies |
BI.ZONE |
Сайт |
|||
Основана |
02.2021 |
05.2022 |
08.2022 |
Комьюнити |
Телеграм/OWASP |
Телеграм/PHD |
Телеграм/OFFZone |
Количество участников |
2000+ |
3500+ (включая Standoff) |
1000+ (включая OFFZone) |
Выявленные внешние публичные уязвимости платформы |
Нет |
XSS |
XSS |
Рейтинг хантеров |
Да |
Да |
Да |
Репутация |
Да (только за валидные отчеты), конвертация рейтинга со сторонних площадок |
Да |
Да (только за валидные отчеты) конвертация рейтинга со сторонних площадок |
Средний чек выплат (от общей суммы программ и отчетов по ней) |
50.000+ |
100.000+ |
Неизвестно |
Выплаты |
Налоговый агент, автоматически, раз в месяц |
Конкурс, период |
Возможны физ лицам, самозанятым, ИП. Автоматически, в среднем до 3 рабочих дней |
Развитие bug bounty — лучшее свидетельство тому, что российская ИБ приобретает все более зрелые черты. Сотрудничество компаний и хакеров приносит бизнесу практическую выгоду здесь и сейчас. В целом же отрасль получает все новые руки и мозги, которые и через годы будут двигать ее вперед.
Нажимая на кнопку, я даю Согласие на обработку персональных данных в соответствии с Политикой обработки.
Зарегистрироваться