Bug Bounty - что это такое и какие сложности есть у российского комьюнити

Тестировать продукт на уязвимости до релиза – классика. Но анализировать защищенность ПО можно и после. Методик много, в их числе – Bug Bounty.

Чем интересен такой вариант тестирования на уязвимости? Какие есть программы Bug Bounty в России? И чего опасаются хакеры, когда используют вредоносные приложения в благих целях? Об этом и не только – в этой статье.

Bug Bounty – что это такое?

Название Bug Bounty придумал Джарретт Ридлинхафер, сотрудник Netscape Communications. В 1996 году он создал программу для фанатичных коллег. Они любили искать ошибки в продуктах корпорации и часто рассказывали об этом на разных внутренних площадках. Новая программа объединила их усилия, а искатели уязвимостей стали получать корпоративные бонусы за бдительность.

Название и идею оценили другие ИТ-компании. Теперь багбаунти – это любая платформа или программа, пользователи которой находят уязвимости в сторонних продуктах и получают за это вознаграждение или общественное признание.

Пользователи программ Bug Bounty – багхантеры. Как правило, это специалисты по кибербезопасности. В свободное время они ищут уязвимости на сайтах и в ПО. Хотя немало сегодня и начинающих багхантеров, в том числе подростков и студентов.

Дмитрий Мельник

Архитектор ИБ компании R-Vision

Программы Bug Bounty устроены так: багхантер или исследователь знакомится с правилами программы и площадки, выбирает цель, использует инструменты. Когда он находит уязвимость, качественно готовит отчет и отправляет в одну из программ Bug Bounty. И если все успешно, получает вознаграждение. Хотя решение об устранении этой уязвимости все равно останется на усмотрение компании-разработчика.

С помощью багбаунти разработчики могут узнать об ошибках в ПО и устранить их до того, как с ними столкнутся реальные злоумышленники или пользователи. А еще компании используют такие программы в продвижении своих продуктов.

Евгений Волошин

Директор по стратегии, директор департамента анализа защищенности и противодействия мошенничеству BI.ZONE

С точки зрения PR это тоже выгодная история. Запуская программу багбаунти, компания публично заявляет о готовности защищать персональные данные своих пользователей, предоставить инфраструктуру для проверки. Это вызывает уважение у комьюнити и аудитории.

При этом нельзя рассматривать Bug Bounty как единственный вариант обнаружения уязвимостей, напоминают эксперты. Программу нужно использовать в комплексе с другими мерами.

Преимущества Bug Bounty

Багбаунти считается одним из самых эффективных способов выявления уязвимостей ИБ. Это подтверждают и собеседники Cyber Media.

Александр Зубриков

Генеральный директор ITGLOBAL.COM Security

На мой взгляд, Bug Bounty — это прекрасный инструмент выявления уязвимостей. Для подразделений ИБ это может быть хорошим подспорьем. Если оценить его с точки зрения затрат, то он может быть практически бесплатным по сравнению с различными средствами защиты информации и с более интересным результатом на выходе.

Более экономичным и эффективным этот способ считается на фоне постоянных затрат на мониторинг защищенности ИТ-инфраструктуры. Зачастую багбаунти бывает дешевле пентеста и тестирования на проникновение.

Лилия Алеева

Директор по маркетингу и прямым продажам ICL Services

В тестировании на проникновение обычно участвует небольшая группа экспертов по безопасности, которые пытаются выявить уязвимости в системе в течение ограниченного периода времени, тогда как в программах вознаграждения за обнаружение ошибок участвует гораздо большая группа независимых исследователей безопасности, которые заинтересованы в поиске уязвимостей в течение более длительного периода времени.

Также, по ее словам, программы багбаунти могут помочь в выявлении уязвимостей, которые невозможно обнаружить с помощью традиционных средств. В их числе автоматическое сканирование уязвимостей или ручное тестирование на проникновение. Кроме того, программы багбаунти могут обеспечивать постоянный мониторинг и тестирование безопасности.

Bug Bounty программы в России

багбаунти давно и успешно используют в мире. Среди самых известных – программы для багхантеров от Apple, Microsoft, Facebook, Google и Reddit. В России же пока все только начинается. 

Дмитрий Мельник

Архитектор ИБ компании R-Vision

Ранее тестирование и обнаружение уязвимостей в компаниях считалось в целом «деньгами на ветер». Аудит ИБ – дорогостоящее мероприятие, а убыток от выявленных уязвимостей в большинстве случаев был достаточно невелик (по сравнению с самой стоимостью такого аудита). Но с расширением доступа в интернет и увеличением количества веб-приложений, проблемы ИБ в компаниях и убытки от несвоевременно выявленных уязвимостей стали расти буквально в геометрической прогрессии.

В один момент, по его словам, расходы из-за упущенных уязвимостей начали заметно превышать стоимость аудита ИБ. И это сыграло главную роль в становлении и развитии Bug Bounty в России.

Сейчас больше всего багбаунти-программ в банковской сфере, ритейле и ИТ. В их числе:

• Bug Bounty Тинькофф;
• Bug Bounty Wildberries;
• Bug Bounty Delivery Club;
• VK Bug Bounty;
• Bug Bounty Telegram;
• Bug Bounty Ozon;
• Багбаунти Яндекс;
• Bug Bounty СКБ Контур.

Пользоваться своими программами также начинает госсектор. В частности, недавно стало известно о багбаунти Минцифры. Министерство запустило конкурс, в котором багхантеры могут получить до 1 млн рублей. Пока искать уязвимости предлагают на двух ресурсах – в Госуслугах и ЕСИА.

Что касается платформ Bug Bounty, они стали появляться в России намного позже программ. Эксперты выделяют три основных – BugBounty.ru, Bug Bounty Standoff 365  и BI.ZONE Bug Bounty. Первая открылась в 2021 году, вторая и третья – в 2022-м.

Багхантеры, клиенты и их риски

Русскоязычное сообщество багбаунти появилось за десять лет до того, как в стране появились свои программы и платформы. Однако это событие все равно ускорило развитие местного комьюнити, считают эксперты.

Евгений Волошин

Директор по стратегии, директор департамента анализа защищенности и противодействия мошенничеству BI.ZONE

Еще одним толчком стали ограничения иностранных площадок на работу с отечественными багхантерами.

По данным Минцифры, сегодня в сообществе около 6500 человек — от совсем юных исследователей до опытных багхантеров. Это 6500 абсолютно уникальных подходов к анализу защищенности компаний.

Самые опытные участники сообщества активно работают на международных платформах по поиску ошибок – HackerOne и Bugcrowd. Комьюнити во многом развивается благодаря их опыту и компетенциям.

Лилия Алеева

Директор по маркетингу и прямым продажам ICL Services

Однако по-прежнему требуется больше российских участников, чтобы в полной мере использовать потенциал программ вознаграждения за обнаружение ошибок.

Чтобы побудить больше россиян участвовать в программах Bug Bounty, важно, чтобы компании активно продвигали свои программы в России и предлагали поощрения охотникам за ошибками, которые обнаруживают уязвимости и сообщают о них. Кроме того, российские университеты и техникумы могли бы проводить обучение, что помогло бы системно вырастить новое поколение русских охотников за ошибками и багами.

Медленное развитие сообщества в России, по ее словам, также связано с отсутствием четких законов и правил, регулирующих багбаунти программы. И хотя кто-то уже успешно сотрудничает с багхантерами, многие компании все еще колеблются из-за юридических неопределенностей.

Что не так с законодательством

В российское правовое поле до сих пор не введено понятие «багбаунти». Регулирования в этой сфере деятельности тоже нет. В итоге программы и платформы вводят свои правила игры и входа для участников. Например, где-то можно регистрироваться 14-летним подросткам, а где-то нужно быть совершеннолетним.

Георгий Тернов

Заместитель генерального директора по правовым вопросам Awillix

Государственное регулирование пока не введено. Это явный плюс, поскольку присутствует некая свобода рынка. И рынок самостоятельно сможет себя регулировать и устанавливать правила. Плюс пока еще в нашей стране действует принцип «Что не запрещено, то разрешено».

Статья 34 Конституции РФ закрепляет принцип, что «каждый имеет право на свободное использование своих способностей и имущества для предпринимательской и иной не запрещенной законом экономической деятельности». А статьей 421 Гражданского кодекса РФ установлен принцип свободы договора, согласно которому, если законом предусмотрено иное, применяются условия договора. То есть можно заключать любой договор с условиями, не запрещенными законом.

При этом, по его словам, на сегодняшний день более 50% программ Bug Bounty в России – непубличные. То есть заказчики ищут конкретных исполнителей и самостоятельно определяют критерии и условия сотрудничества. В любом случае, чтобы соблюсти законодательство, эксперт советует сторонам подписать договор оказания услуг, а багхантеру – не выходить за рамки дозволенного по документу.

Сергей Полунин

Руководитель группы защиты инфраструктурных ИТ компании «Газинформсервис»

Основная проблема действительно лежит в юридической плоскости. ФСБ и ФСТЭК выступают против легализации деятельности белых хакеров, а значит, любые исследователи уязвимостей формально подпадают под ст. 272 УК РФ.

Менять Уголовный кодекс никто не собирается. Поэтому не очень понятно, как можно вывести добросовестных специалистов в практической информационной безопасности из-под удара. Индустрия, судя по всему, должна сама предложить пути решения, иначе ситуация не изменится.

Самих же багхантеров больше заботят другие сложности. В частности, им хотелось бы упростить бумажную волокиту и расширить валютные рамки.

Юрий Ряднина

Автор канала Багхантер

Для получения выплаты на платформе HackerOne нужно было заполнить единственную налоговую форму W-8BEN, несколько строк, и расписаться. В России нужно загрузить данные нескольких документов. Не очень удобно.

А еще у нас ни на одной платформе до сих пор нет выплат в криптовалютах, хотя это было бы современно и привлекло бы много хакеров из разных стран. Они думают по-другому, и репорты у них интересные.

Выводы

Судя по последним событиям, в развитии Bug Bounty в стране заинтересованы как платформы, так и бизнес с государством. Причина понятна – за последний год заметно увеличилось количество атак на российские организации и компании.

Георгий Тернов

Заместитель генерального директора по правовым вопросам Awillix

В программах Bug Bounty уже прямо сейчас заинтересованы объекты критической инфраструктуры, которые подпадают под действие Указа Президента РФ № 250 «О дополнительных мерах по обеспечению информационной безопасности РФ» от 1 мая 2022 года.

Именно поэтому эксперты ожидают, что в ближайшее время программы поиска уязвимостей появятся в коммерческих организациях и государственных предприятиях разных отраслей экономики. Вместе с тем значительно расширится рынок багбаунти, а также повысится спрос.