Андрей Лёвкин, BI.ZONE: Каждый тридцатый отчет от багхантеров — критичный

Багхантинг — это не просто профессия, а скорее призвание. О том, что мотивирует багхантеров, какие конфликтные ситуации у них случаются с вендорами и почему репутация часто важнее денег, Cyber Media рассказал Андрей Лёвкин, руководитель продукта BI.ZONE Bug Bounty. На примере платформы он разобрал основные нюансы взаимодействия багхантера и вендора.

Cyber Media: В контексте багхантинга часто говорят о проблемах исследователей и компаний, а какие сложности и «боли» возникают у триажеров, которые разбирают отчеты багхантеров?

Андрей Лёвкин: У триажеров при разборе отчетов две боли. Первая — когда багхантеры пишут отчет, они думают, что все понятно, а это не всегда оказывается так. Задача триажеров — выяснить, как багхантер нашел уязвимость, понять его логику и цепочку действий.

Когда компаниям непонятно, как найдена уязвимость, они ее не отклоняют, а просто пишут об этом. Багхантеру приходит отбивка, он заходит в отчет и объясняет непонятное.

Поэтому появляется переписка внутри платформы. Это совершенно нормальная практика. Такая итеративная работа рано или поздно приводит к тому, что уязвимость воспроизводится, багхантер получает свою выплату, а команда триажа забирает уязвимость на фикс.

Вторая боль — это разбор ситуаций, когда багхантер не согласен с решением компании. Он считает, что критичность обнаруженной им уязвимости оценили ниже и обманули при выплате. Мы идем в отчет и смотрим, почему вендор так решил. Идем к этой компании и уточняем решение. И в итоге выносим вердикт: есть ли у вендора объективная позиция и прав ли он. В одних случаях мы отстаиваем интересы багхантера и необходимость увеличить выплату. В других — говорим, что багхантер неправ и просит оценить критичность уязвимости выше, чем есть на самом деле.

Cyber Media: А из-за чего эти конфликты возникают?

Андрей Лёвкин: Чаще всего относительно критичности уязвимостей и предполагаемых выплат. Багхантер считает, что нашел крайне существенную уязвимость. Вендор может проанализировать риски при эксплуатации этой уязвимости и сказать, что на самом деле это не боевые данные, а тестовый контур и он изолирован. Компании в таких случаях дают аргументированное объяснение, почему в данной ситуации выплата уменьшена.

Мы, как арбитры, выслушиваем багхантеров и компании. Смотрим на фактуру, которую предоставили обе стороны, и выносим вердикт. Иногда в особенно спорных ситуациях мы просим компании сказать, что критичность минимальна, но при этом выплатить багхантеру полную сумму. Это повысит лояльность багхантера к программе и он продолжит поиски.

Cyber Media: Если говорить о наиболее интересных (и публичных) находках исследователей на вашей платформе за последний год, что вы могли бы выделить?

Андрей Лёвкин: «Публичные» — это такое опасное слово, которое не всегда применимо к отчетам. Мы в первую очередь отстаиваем конфиденциальность наших клиентов. И мы можем опубликовать отчет, когда багхантер и вендор вместе приходят к готовности это сделать. Таких кейсов пока около десятка.

Почему это редкие кейсы? Потому что вендор может понести репутационные потери, а багхантер — потерять приватный вектор исследований. Вектор в данном случае — это некий подход, который уникален и изобретен им. Если он вытащит его в паблик, другие исследователи будут применять его тоже и багхантер рискует потерять «интеллектуальную собственность», на которой зарабатывает деньги, находя баги.

Cyber Media: Одна из наиболее болезненных тем для багхантеров — это дубликаты. На ваш взгляд, как с ними может бороться сам исследователь и какие действия для этого предпринимает платформа?

Андрей Лёвкин: Мы об этом заботимся заранее: у нас есть специальная функция «Дубль». Багхантер находит уязвимость и создает отчет. Вендор подтверждает, что это уязвимость, и принимает ее. Приходит другой багхантер и создает отчет. Вендор ставит «Дубль» второму. И багхантер, создавший второй отчет, видит состав отчета первого. У него не возникает вопросов, почему это дубль: ему видно, как найдена такая же уязвимость, и видно время подачи отчета.

У нас были интересные ситуации, когда компания ставила «Дубль», багхантер читал предыдущий отчет и говорил, что баг по-другому работает. Компания возвращалась к этому и в итоге подтверждала. Относительно вендоров — на дубли сильно влияет сам вендор. Чем быстрее он исправляет уязвимости, тем меньше у него дублей будет в программе.

Багхантеру за дубль мы даем репутацию. Потому что, если это дубль валидного приватного отчета, он по факту проделал ту же работу.

Cyber Media: Если говорить о статистике, как часто багхантеры находят критические уязвимости и какова их доля от остальных сданных репортов?

Андрей Лёвкин: По нашей статистике, каждый тридцатый отчет является критичным. В рамках одной программы их обычно несколько в год, если мы говорим о тех программах, которые совсем недавно вышли на багбаунти. Если приводить данные по всем программам, то репорты о критических уязвимостях появляются еженедельно.

Найти критическую уязвимость тяжело. Заказчики, которые выходят на платформу, чаще всего весьма зрелые. Кроме того, векторы поиска должны быть очень специфические и уникальные. Иногда нужно, чтобы, скажем так, сошлись звезды.

Cyber Media: Как известно, деньги — это далеко не единственный способ мотивировать ресечеров искать баги. На ваш взгляд, какие активности привлекают наибольший интерес исследователей к программам?

Андрей Лёвкин: Исследователю должна быть интересна сама программа. Ему должен нравиться интерфейс того, что он анализирует, импонировать философия компании. Некоторым нравится работать со зрелыми компаниями с высоким уровнем защищенности, потому что поиск уязвимостей в таких программах — это вызов.

Выплаты — это не всё. Очень многое для багхантеров — это их репутация и рейтинг, которые дают признание в комьюнити.

Cyber Media: Расскажите про комьюнити. В чем его ценность? Это больше общение людей по схожим интересам? Чем оно привлекательно для них?

Андрей Лёвкин: Это ребята, которые мыслят в одном направлении. Все работают в кибербезопасности, все занимают позиции в топовых компаниях, все занимаются пентестом. Почти все багхантеры, которых я знаю, — это люди, которые работают в компаниях с самым высоким уровнем зрелости кибербезопасности.

В каком-то смысле это клуб по интересам. Это те, у кого можно попросить о помощи, если багхантер нашел интересный вектор, но ему не хватает квалификации, потому что это не его основной профиль. Можно скрыть название компании и сказать, что не понимаешь, что делать, и комьюнити отзовется.

Можно ли сказать, что это профессиональное сообщество, что багхантинг — это профессия? Пентесты всего подряд — это призвание. Все пентестеры — это багхантеры, которые об этом еще не знают.