BI.ZONE: 83% багхантеров интересно общаться с сообществом и обмениваться опытом

Андрей Лёвкин, руководитель продукта BI.ZONE Bug Bounty, и Александра Борисова (ENZO), руководитель группы развития сообществ, рассказали порталу Cyber Media о том, как развивается комьюнити багхантеров в России и что драйвит исследователей сдавать больше уязвимостей в программы.

Cyber Media: Сообщество багхантеров во многом развивается вокруг российских платформ. А как было до их появления, когда основной площадкой выступал H1?

Андрей Лёвкин: Раньше багбаунти в России развивалось не вокруг платформ, а вокруг российских вендоров, которые были представлены на H1 или имели self-hosted-багбаунти. Их можно было пересчитать по пальцам одной руки. Например, программа VK была представлена на H1, а «‎Яндекс» хостил и хостит до сих пор свои программы самостоятельно.

Что касается комьюнити, в СНГ его как такового не было. Речь шла скорее о международном сообществе, куда входили исследователи из России.

Cyber Media: Какой путь прошло сообщество исследователей с момента появления российских платформ?

Александра Борисова: За два года российское комьюнити багхантеров проделало большой путь. Можно сказать, что оно сформировалось с нуля.

Рассмотрим на примере платформы BI.ZONE Bug Bounty. В 2022 году у нас было только комьюнити конференции OFFZONE. Оно большое и крутое, но нужного фундамента для формирования тусовки багхантеров в нем не было. Поэтому мы начали с того, что собрали всех познакомиться очно в неформальной обстановке. Приглашали тех ребят из России, которые круто показали себя на H1 или просто интересовались offensive. С 2022 года делали стенды платформы на OFFZONE, расширяли круг знакомств. Одновременно мы вместе с вендорами активно наполняли платформу программами, чтобы комьюнити было вокруг чего формироваться. И неплохо сработали: в 2023 году мы 18 раз увеличивали скоуп и поднимали выплаты, а к концу 2024 года на BI.ZONE Bug Bounty вышло уже 67 публичных программ.

В 2023 году у нас начал активно формироваться телеграм-чат, хотя на тот момент мы не драйвили его развитие. Это стало для нас сигналом, что появилось ядро сообщества и с ним нужно работать дальше, пора выходить на новый уровень. Поэтому мы сменили концепцию мероприятий и от небольших митапов в нашем офисе перешли к полноценным ивентам. Так появился BUGS ZONE — приватный ивент для лучших багхантеров нашей платформы. Мы сделали первый двухнедельный онлайн-этап с багхантингом на закрытом скоупе приглашенных вендоров, которых звали как из паблика, так и из приваток. Вторым этапом стало очное мероприятие с развлекательной программой, награждением от нас и вендоров и прочими приятностями. BUGS ZONE важен не только для укрепления связей с багхантерами, но и для знакомства вендорских команд с исследователями. Это помогает им лучше понять друг друга и находить общий язык в дальнейшем.

Cyber Media: Для многих комьюнити багхантеров равно комьюнити белых хакеров. Насколько это правда? Действительно ли большинство багхантеров работают пентестерами?

Александра Борисова: Комьюнити белых хакеров — очень широкое и расплывчатое понятие. Рассматривая его предметно, всегда стоит держать в голове, что это не одно большое сообщество, а множество разного размера сообществ, пересекающихся между собой. Комьюнити багхантеров в России довольно молодое, поэтому среди участников, например, много ребят из CTF-тусовки.

Большинство действительно трудятся в offensive, но есть ребята и из blue team, а отдельные участники вообще не работают в сфере кибербезопасности.

Cyber Media: Каково соотношение опытных исследователей и новичков в сообществе? Как они взаимодействуют между собой?

Андрей Лёвкин: Процент новичков довольно большой: за последние два года специалисты начали активнее интересоваться багхантингом и пробовать свои силы. Но есть и опытные ребята, кому также нравится общаться с комьюнити. Что касается обмена опытом — он есть, но не такой активный, как, например, у blue team. Это связано со спецификой багхантинга и работой атакующих в целом. Один из ключевых принципов багбаунти — «кто первый сдал, того и выплата». Поэтому багхантеры в первую очередь друг для друга конкуренты, им не очень выгодно делиться инструментами и опытом слишком активно. Но это не мешает нам звать спикеров на BUGS ZONE и писать полезные материалы вместе с участниками сообщества.

Cyber Media: Многим исследователям приглашения в приватные программы приходят буквально после 1–2 найденных уязвимостей — как на российских, так и на зарубежных платформах. С чем это связано? Можно ли говорить о дефиците багхантеров?

Андрей Лёвкин: Дефицит багхантеров определенно есть. Недавно коллеги из VK представили большое исследование, где подробно разобрали, с чем это связано. Если коротко, то квалифицированных кадров не хватает в кибербезе в целом.

В конце этого лета мы тоже провели исследование, но уже среди аудитории нашей платформы. Оно показало, что для 71% багхантинг — исключительно хобби. Как основной источник дохода багбаунти используют единицы.

Конкурируют между собой не только площадки, но и вендоры. Зрелые компании все больше задумываются, как улучшить процессы внутри и сделать багхантинг более комфортным для исследователей, какие механики придумать для вовлечения и сколько заложить бюджета на продвижение этой истории.

Стать любимчиком вендоров и платформ не так сложно — достаточно регулярно сдавать баги.

Cyber Media: В последнее время появилось много разных активностей, направленных на мотивацию багхантеров активно участвовать в программах: от прогресс-баров с повышением выплат до адвент-календарей и приватных ивентов. Что, помимо суммы выплат, мотивирует исследователей активнее искать баги в программах?

Александра Борисова: Согласно исследованию нашей аудитории, 83% багхантеров интересно общаться с сообществом и обмениваться опытом. Так что мы стараемся регулярно проводить ивенты и собирать всех очно.

Также многим нравятся дух соревнования и получать ачивки. Поэтому каждый квартал и каждый год мы подводим итоги и награждаем лучших повышением выплат или памятными призами. В этом году мы ввели бонус в виде +5% к каждой выплате для топ-3 исследователей по итогам каждого квартала.

Ну и старый добрый мерч, конечно же. Не стоит недооценивать его силу! Мы делаем не только базовые позиции вроде худи и футболок, но и придумываем что-то запоминающееся, чтобы показать наше внимание к сообществу. Например, одним из подарков на первом BUGS ZONE стали портативные приставки с ретроиграми. При этом играть можно было не только в игры, но и с прошивкой.

Cyber Media: На широкую аудиторию часто обсуждаются истории с огромными выплатами исследователям за найденные уязвимости. Но гораздо реже говорят о примерах так называемого хакерского альтруизма. Встречалось ли подобное в вашей практике?

Андрей Лёвкин: На BI.ZONE Bug Bounty есть программы, которые называются ПИУ (программа информирования об уязвимостях, аналог vulnerability disclosure program). Это программы без выплат, с них иногда начинают запускать багбаунти регионы. Дальше в них, как правило, появляются выплаты. Казалось бы, зачем искать баги там, где за них не платят? Но исследователи все равно заносят по ним отчеты. На вопрос о мотивации нам ответили: «Есть ощущение, что делаешь полезное дело».

Еще есть история с благотворительностью. Например, у нас на платформе можно получить ачивки разного уровня, если вносить пожертвования в благотворительные организации от суммы выплат. У некоторых исследователей эта ачивка есть даже на более продвинутом уровне. Это здорово!

Cyber Media: Дайте ваш прогноз: какие векторы развития комьюнити багхантеров вы видите в обозримом будущем?

Андрей Лёвкин: Багбаунти — это игра вдолгую. Основные моменты, на которые мы ставим, — рост конкуренции среди багхантеров, повышение качества отчетов и развитие комьюнити не только вокруг платформ и self-hosted-программ, но и вокруг отдельных вендоров. Поскольку конкуренция сейчас не так высока и дальше будет только расти, сейчас самое время, чтобы вкатиться в багбаунти.