Антон Лопаницын, независимый исследователь: Уязвимости могут быть просты в воспроизведении, но сложны для исправления

Антон Лопаницын (bo0om), специалист по анализу защищенности и автор блога «Кавычка», рассказал порталу Cyber Media о том, как компании выходят на багбаунти, почему защищать сложнее, чем ломать, как формируется бюджет на выплаты багхантерам и хватает ли багхантеров для закрытия потребностей всех программ.

Cyber Media: По вашему опыту, сколько времени занимает подготовка к выходу на багбаунти для компании, из каких этапов состоит процесс?

Антон Лопаницын: Время, как и сам факт, внедрения багбаунти зависит от степени зрелости компании. Если эта зрелость далека от идеала, то первым делом нужно сформировать внутреннюю команду, которая пройдется по значимым ресурсам компании. Это нужно, чтобы собрать «низко висящие фрукты» — уязвимости, которые легко обнаружить или легко исправить. Завести тикеты и выстроить процесс исправления уязвимостей.

Для этого нужно создать регламент: договориться с разработчиками, что исправление уязвимостей — важный шаг в построении безопасности, и нужно выделять на это время. И иногда придется приоритизировать задачи, если уязвимость высокой критичности, то мы временно отодвигаем бизнесовые задачи и просим исправить баги.

Cyber Media: Помог ли в процессе подготовки ваш опыт специалиста по анализу защищенности? На какие аспекты вы взглянули по-новому, когда оказались «с другой стороны»?

Антон Лопаницын: О, естественно, ломать — не строить. Защищать иногда сложнее. Уязвимости могут быть простые в воспроизведении, но сложные для исправления: для того чтобы исправить, необходимо привлечь много людей, возможно, из нескольких команд, бизнес-процессы могут быть завязаны на эту используемую функциональность. В редких случаях для корректного исправления необходимо изменить архитектуру сервиса, а это долго и дорого.

Cyber Media: Регулярно случаются кейсы, когда исследователи, намеренно или случайно, находят баги за пределами скоупа. Почему за его пределы выходить нельзя и как вы рекомендовали бы на это реагировать?

Антон Лопаницын: А мне нравится. Если уязвимость вне скоупа и может принести влияние на безопасность компании, то, разумеется, ее стоит рассматривать. Для багхантеров — плюс то, что вне скоупа смотрели меньше людей, там больше багов. Для бизнеса — за эти уязвимости ты заплатишь меньше, потому что по тем или иным причинам некоторые ресурсы не задействованы в конкурсе.

Но тут тоже палка о двух концах, если есть реальный риск для компании — конечно, нужно платить. А с другой стороны — могут быть связаны руки, потому что менеджменту нужно будет объяснить, почему заплатили, если ресурс находится за рамками конкурса.

Мне как багхантеру понятно такое поведение, как выход за скоуп. Мы тут собрались защищать компанию или формально участвовать в конкурсе?

Допустим, вы большая компания, а по каким-то причинам наружу торчит какая-нибудь веб-панель по управлению бэкапами баз данных. Багхантер нашел, что туда можно зайти с помощью уязвимости и скачать все бэкапы, начиная сайтами, заканчивая бухгалтерией. Что на его месте сделал бы злоумышленник? А что сделал багхантер и почему?

Даже если этот сервис разрабатывает компания, даже если это какой-то подрядчик совершил ошибку — ошибка была, почему бы не сказать спасибо багхантеру.

Cyber Media: От каких условий зависит бюджет на выплаты багхантерам? Как убедить бизнес повышать выплаты?

Антон Лопаницын: Выплата зависит от нескольких факторов:

1. От бюджета компании в моменте. Например, мы запустились с маленькими суммами, чтобы выстроить процессы. Но тратим пока меньше выделенного бюджета, поэтому со временем стоимость уязвимостей будет повышаться. Больше стоимость → больше интереса → больше найденных уязвимостей. Бизнесу важно зарабатывать деньги и минимизировать риски взлома, багбаунти — одно из правильных решений в эту сторону.
2. От влияния на безопасность, в народе от «импакта». Но тут все логично, по-разному оценивается уязвимость, если ты нарисуешь произвольную картинку на странице или сможешь попасть во внутреннюю инфраструктуру или получить доступ к исходным кодам.
3. Что и где. Ресурс, на котором хранятся пользовательские данные всех клиентов компании или маркетинговый лендинг, в котором собиралась обратная связь клиентов.

Сейчас все уже пишут довольно подробные правила и все, кто в теме, знают, что и сколько стоит и что принесет. Исключения составляют несколько пограничных случаев, когда уязвимость имеет влияние на бизнес-риски, но она не включена, или еще хуже, включена как риск, который не принимают.

Cyber Media: Если говорить о комьюнити багхантеров в России, достаточно ли этих людей для закрытия бизнес-потребностей компаний, стоит ли ждать роста?

Антон Лопаницын: По комьюнити — стоит ждать роста, сейчас много обучения для белых хакеров, много свежей крови, много новых лиц на конференциях. В общем, сфера растет, количество участников в ИБ становится больше и, в частности, в багбаунти.

Cyber Media: Некоторые исследователи на старте карьеры начинают искать уязвимость вне багбаунти-программ, в том числе где процессы ИБ не особо развиты. С какими рисками может столкнуться багхантер в этих случаях? Были ли у вас подобные кейсы?

Антон Лопаницын: Некоторые компании могут реагировать агрессивно на попытки обнаружить уязвимости, что может привести к конфликтам или даже физическим угрозам. Были знакомые, которых привлекали за вымогательство, из-за того, что они просили «багбаунти».

Я всегда отдавал то, что обнаружил, бесплатно, но я не против вознаграждения. На мой первый взлом в конце 2000-х подарили билеты в кино (нашел уязвимость на сайте кинотеатра). Но я так и не пришел, побоялся.

Советую не нарушать закон, создавать минимальную нагрузку на сервера, чтобы не допустить никаких потерь и сообщать об уязвимостях вне зависимости от того, заплатят вам или нет. В будущем это может сыграть вам на руку.

Cyber Media: Владельцы багбаунти-программ, как приватных, так и открытых, иногда сталкиваются с тем, что хантеры не проявляют интереса к их программам. Исходя из вашего опыта, какие действия могут помочь привлечь исследователей в программу?

Антон Лопаницын: Реклама — двигатель прогресса, маркетинг правит миром.

Привлекать исследователей можно так же, как и к любым другим продуктам, просто выстраивать маркетинговую стратегию для узкой целевой аудитории. Но в первую очередь внимание привлекут хорошие выплаты и большой скоуп. И как ни странно, чем больше у компании уязвимостей, тем интереснее ее ломать.