Есть два подхода к тестированию софта. Классический — когда тестировщики проверяют программу до её выхода. И есть второй, необычный — баг-баунти. Это конкурс, где хакерам и программистам предлагают на спор сломать нашу программу во имя будущей безопасности. Вот об этом и расскажем
Перед этой статьёй полезно пролистать наш цикл про тестирование.
Что такое баг-баунти
Баг-баунти (от англ. bug bounty) — открытый конкурс по поиску уязвимостей в продукте. Работает это примерно так:
- Компания делает анонс конкурса, мол, вот наш продукт — найдите в нём проблемы.
- Часто объявляют призы: деньги или приём на работу.
- В назначенное время начинается конкурс — сообщают, что именно нужно проверить и как.
- Айтишники пытаются найти уязвимости и сломать продукт. Найденные проблемы отправляют компании.
- Компания награждает победителей и исправляет ошибки.
У Яндекса подобные штуки называются «Охота за ошибками». В 2023 году за серьёзную уязвимость платят полтора миллиона рублей.
Баг Баунти для новичков или как начать в bug bounty? Техники и моя методика.
То же самое делает Тинькофф — у них другие критерии, но суть такая же: можно найти ошибку или уязвимость и получить деньги:
На что смотрят во время баг-баунти
Пока проходит баг-баунти, в компании смотрят за продуктом:
- как он справляется с нагрузкой;
- все ли системы работают штатно;
- нет ли сообщений системы о несанкционированном доступе;
- насколько продукт доступен для других пользователей.
Может оказаться так, что до конкурса сайт работал нормально, но первая же попытка найти ошибку уронила все сервисы — а всё потому, что разработчики не предусмотрели такие сценарии.
Зачем это компаниям
Баг-баунти для компаний — это возможность протестировать свой продукт или показать всем, что он надёжный. Иногда компании настолько уверена в своём сервисе, что объявляет баг-баунти для того, чтобы похвастаться своей надёжностью.
С другой стороны, такое часто делают до публичного запуска, когда хотят проверить всё на прочность. В этом случае у компании есть возможность исправить ошибки до публичного релиза.
Сколько платят
Надёргали для вас ещё публичных кейсов, чтобы показать серьёзность намерений:
- Сейчас Microsoft и Apple обещают выплаты до 1 млн долларов за критические уязвимости.
- Intel платит до 100 тысяч долларов за баг, если его найдут в железе, прошивке или софте.
- У Google сейчас можно получить до 30 тысяч долларов. В год компания тратит 3–5 млн на эту программу.
- У LinkedIn есть программа по поиску уязвимости сайта, в прошлом году премии доходили до 18 тысяч долларов.
- Максимальная выплата в программе баг-баунти у Uber — 15 тысяч долларов.
- В прошлом году канадском Квебеке местное Минцифры предлагало до 1500 долларов за баг.
Видно, что разброс большой: от полутора тысяч до миллиона долларов. Понятно, что миллион дадут за самую страшную ошибку, которая может стоить компании миллиардных убытков. Но для тех, кто профессионально тестирует софт, это может быть хорошим дополнительным заработком.
Voltz и программа Bug Bounty: что это такое и какие возможности дает
Хочу участвовать в баг-баунти — с чего начать?
Особых требований к участникам баг-баунти нет — попробовать свои силы может кто угодно. Но совсем с нуля, без опыта тестирования или разработки там будет очень сложно. Если хотите подготовиться — вот курсы для старта:
Тестирование — это билет в ИТ
Простой вход в мир ИТ, ваша первая работа и быстрый старт в профессии. Изучите основы — и за дело. Мы поможем с обучением и трудоустройством. Старт бесплатно.
Получите ИТ-профессию
В «Яндекс Практикуме» можно стать разработчиком, тестировщиком, аналитиком и менеджером цифровых продуктов. Первая часть обучения всегда бесплатная, чтобы попробовать и найти то, что вам по душе. Дальше — программы трудоустройства.
Источник: thecode.media
Игра по-честному: что такое Bug Bounty и какие сложности есть у российского комьюнити
Тестировать продукт на уязвимости до релиза – классика. Но анализировать защищенность ПО можно и после. Методик много, в их числе – Bug Bounty. Чем интересен такой вариант тестирования на уязвимости? Какие есть программы Bug Bounty в России? И чего опасаются хакеры, когда используют вредоносные приложения в благих целях?
Об этом и не только – в этой статье.
Bug Bounty – что это такое?
Название Bug Bounty придумал Джарретт Ридлинхафер, сотрудник Netscape Communications. В 1996 году он создал программу для фанатичных коллег. Они любили искать ошибки в продуктах корпорации и часто рассказывали об этом на разных внутренних площадках. Новая программа объединила их усилия, а искатели уязвимостей стали получать корпоративные бонусы за бдительность.
Название и идею оценили другие ИТ-компании. Теперь багбаунти – это любая платформа или программа, пользователи которой находят уязвимости в сторонних продуктах и получают за это вознаграждение или общественное признание. Пользователи программ Bug Bounty – багхантеры. Как правило, это специалисты по кибербезопасности. В свободное время они ищут уязвимости на сайтах и в ПО.
Хотя немало сегодня и начинающих багхантеров, в том числе подростков и студентов.
Архитектор ИБ компании R-Vision
Программы Bug Bounty устроены так: багхантер или исследователь знакомится с правилами программы и площадки, выбирает цель, использует инструменты. Когда он находит уязвимость, качественно готовит отчет и отправляет в одну из программ Bug Bounty. И если все успешно, получает вознаграждение. Хотя решение об устранении этой уязвимости все равно останется на усмотрение компании-разработчика.
С помощью багбаунти разработчики могут узнать об ошибках в ПО и устранить их до того, как с ними столкнутся реальные злоумышленники или пользователи. А еще компании используют такие программы в продвижении своих продуктов.
Директор по стратегии, директор департамента анализа защищенности и противодействия мошенничеству BI.ZONE
С точки зрения PR это тоже выгодная история. Запуская программу багбаунти, компания публично заявляет о готовности защищать персональные данные своих пользователей, предоставить инфраструктуру для проверки. Это вызывает уважение у комьюнити и аудитории.
При этом нельзя рассматривать Bug Bounty как единственный вариант обнаружения уязвимостей, напоминают эксперты. Программу нужно использовать в комплексе с другими мерами.
Преимущества Bug Bounty
Багбаунти считается одним из самых эффективных способов выявления уязвимостей ИБ. Это подтверждают и собеседники Cyber Media.
Генеральный директор ITGLOBAL.COM Security
На мой взгляд, Bug Bounty — это прекрасный инструмент выявления уязвимостей. Для подразделений ИБ это может быть хорошим подспорьем. Если оценить его с точки зрения затрат, то он может быть практически бесплатным по сравнению с различными средствами защиты информации и с более интересным результатом на выходе.
Более экономичным и эффективным этот способ считается на фоне постоянных затрат на мониторинг защищенности ИТ-инфраструктуры. Зачастую багбаунти бывает дешевле пентеста и тестирования на проникновение.
Директор по маркетингу и прямым продажам ICL Services
В тестировании на проникновение обычно участвует небольшая группа экспертов по безопасности, которые пытаются выявить уязвимости в системе в течение ограниченного периода времени, тогда как в программах вознаграждения за обнаружение ошибок участвует гораздо большая группа независимых исследователей безопасности, которые заинтересованы в поиске уязвимостей в течение более длительного периода времени.
Также, по ее словам, программы багбаунти могут помочь в выявлении уязвимостей, которые невозможно обнаружить с помощью традиционных средств. В их числе автоматическое сканирование уязвимостей или ручное тестирование на проникновение. Кроме того, программы багбаунти могут обеспечивать постоянный мониторинг и тестирование безопасности.
Bug Bounty программы в России
багбаунти давно и успешно используют в мире. Среди самых известных – программы для багхантеров от Apple, Microsoft, Facebook, Google и Reddit. В России же пока все только начинается.
Архитектор ИБ компании R-Vision
Ранее тестирование и обнаружение уязвимостей в компаниях считалось в целом «деньгами на ветер». Аудит ИБ – дорогостоящее мероприятие, а убыток от выявленных уязвимостей в большинстве случаев был достаточно невелик (по сравнению с самой стоимостью такого аудита). Но с расширением доступа в интернет и увеличением количества веб-приложений, проблемы ИБ в компаниях и убытки от несвоевременно выявленных уязвимостей стали расти буквально в геометрической прогрессии.
- Bug Bounty Тинькофф;
- Bug Bounty Wildberries;
- Bug Bounty Delivery Club;
- VK Bug Bounty;
- Bug Bounty Telegram;
- Bug Bounty Ozon;
- Багбаунти Яндекс;
- Bug Bounty СКБ Контур.
Пользоваться своими программами также начинает госсектор. В частности, недавно стало известно о багбаунти Минцифры. Министерство запустило конкурс, в котором багхантеры могут получить до 1 млн рублей. Пока искать уязвимости предлагают на двух ресурсах – в Госуслугах и ЕСИА.
Что касается платформ Bug Bounty, они стали появляться в России намного позже программ. Эксперты выделяют три основных – BugBounty.ru, Bug Bounty Standoff 365 и BI.ZONE Bug Bounty. Первая открылась в 2021 году, вторая и третья – в 2022-м.
Багхантеры, клиенты и их риски
Русскоязычное сообщество багбаунти появилось за десять лет до того, как в стране появились свои программы и платформы. Однако это событие все равно ускорило развитие местного комьюнити, считают эксперты.
Директор по стратегии, директор департамента анализа защищенности и противодействия мошенничеству BI.ZONE
Еще одним толчком стали ограничения иностранных площадок на работу с отечественными багхантерами.
По данным Минцифры, сегодня в сообществе около 6500 человек — от совсем юных исследователей до опытных багхантеров. Это 6500 абсолютно уникальных подходов к анализу защищенности компаний.
Самые опытные участники сообщества активно работают на международных платформах по поиску ошибок – HackerOne и Bugcrowd. Комьюнити во многом развивается благодаря их опыту и компетенциям.
Директор по маркетингу и прямым продажам ICL Services
Однако по-прежнему требуется больше российских участников, чтобы в полной мере использовать потенциал программ вознаграждения за обнаружение ошибок.
Чтобы побудить больше россиян участвовать в программах Bug Bounty, важно, чтобы компании активно продвигали свои программы в России и предлагали поощрения охотникам за ошибками, которые обнаруживают уязвимости и сообщают о них. Кроме того, российские университеты и техникумы могли бы проводить обучение, что помогло бы системно вырастить новое поколение русских охотников за ошибками и багами.
Медленное развитие сообщества в России, по ее словам, также связано с отсутствием четких законов и правил, регулирующих багбаунти программы. И хотя кто-то уже успешно сотрудничает с багхантерами, многие компании все еще колеблются из-за юридических неопределенностей.
Что не так с законодательством
В российское правовое поле до сих пор не введено понятие «багбаунти». Регулирования в этой сфере деятельности тоже нет. В итоге программы и платформы вводят свои правила игры и входа для участников. Например, где-то можно регистрироваться 14-летним подросткам, а где-то нужно быть совершеннолетним.
Заместитель генерального директора по правовым вопросам Awillix
Государственное регулирование пока не введено. Это явный плюс, поскольку присутствует некая свобода рынка. И рынок самостоятельно сможет себя регулировать и устанавливать правила. Плюс пока еще в нашей стране действует принцип «Что не запрещено, то разрешено».
Статья 34 Конституции РФ закрепляет принцип, что «каждый имеет право на свободное использование своих способностей и имущества для предпринимательской и иной не запрещенной законом экономической деятельности». А статьей 421 Гражданского кодекса РФ установлен принцип свободы договора, согласно которому, если законом предусмотрено иное, применяются условия договора. То есть можно заключать любой договор с условиями, не запрещенными законом.
При этом, по его словам, на сегодняшний день более 50% программ Bug Bounty в России – непубличные. То есть заказчики ищут конкретных исполнителей и самостоятельно определяют критерии и условия сотрудничества. В любом случае, чтобы соблюсти законодательство, эксперт советует сторонам подписать договор оказания услуг, а багхантеру – не выходить за рамки дозволенного по документу.
Руководитель группы защиты инфраструктурных ИТ компании «Газинформсервис»
Основная проблема действительно лежит в юридической плоскости. ФСБ и ФСТЭК выступают против легализации деятельности белых хакеров, а значит, любые исследователи уязвимостей формально подпадают под ст. 272 УК РФ.
Менять Уголовный кодекс никто не собирается. Поэтому не очень понятно, как можно вывести добросовестных специалистов в практической информационной безопасности из-под удара. Индустрия, судя по всему, должна сама предложить пути решения, иначе ситуация не изменится.
Самих же багхантеров больше заботят другие сложности. В частности, им хотелось бы упростить бумажную волокиту и расширить валютные рамки.
Автор канала Багхантер
Для получения выплаты на платформе HackerOne нужно было заполнить единственную налоговую форму W-8BEN, несколько строк, и расписаться. В России нужно загрузить данные нескольких документов. Не очень удобно.
А еще у нас ни на одной платформе до сих пор нет выплат в криптовалютах, хотя это было бы современно и привлекло бы много хакеров из разных стран. Они думают по-другому, и репорты у них интересные.
Выводы
Судя по последним событиям, в развитии Bug Bounty в стране заинтересованы как платформы, так и бизнес с государством. Причина понятна – за последний год заметно увеличилось количество атак на российские организации и компании.
Заместитель генерального директора по правовым вопросам Awillix
В программах Bug Bounty уже прямо сейчас заинтересованы объекты критической инфраструктуры, которые подпадают под действие Указа Президента РФ № 250 «О дополнительных мерах по обеспечению информационной безопасности РФ» от 1 мая 2022 года.
Именно поэтому эксперты ожидают, что в ближайшее время программы поиска уязвимостей появятся в коммерческих организациях и государственных предприятиях разных отраслей экономики. Вместе с тем значительно расширится рынок багбаунти, а также повысится спрос.
Источник: securitymedia.org
Что такое Bug Bounty?
В последние годы организации запускают программы вознаграждения за обнаружение ошибок, чтобы выявить и устранить уязвимости в своих приложениях. Программа вознаграждения за обнаружение ошибок позволяет этичным хакерам проверить, имеют ли приложения организации проблемы безопасности.
Программы Bug Bounty позволяют независимым исследователям безопасности сообщать компании об уязвимостях в ее ИТ-инфраструктуре и получать за предоставленную информацию достойное вознаграждение. Условия программ Bug Bounty в разных организациях могут различаться.
Например, некоторые компании могут вообще объявить “сезон открытых дверей”, позволяя этичным хакерам полностью проверить на прочность инфраструктуру организации. Или проверку могут ограничить отдельным приложением или страницей, а также указать какие виды уязвимостей исследователи могут тестировать.
Например, разрешается поиск уязвимостей межсайтового скриптинга, однако запрещено использовать атаки типа “отказ в обслуживании”. После обнаружения уязвимости этичный хакер отправляет в организацию отчет, часто это осуществляется через отдельную платформу. Затем организация связывается с белым хакером, проверяет наличие уязвимости, устраняет ее и тестирует, корректно ли работает исправление. Когда все проверки пройдены, удачливый охотник за багами получает заслуженную награду. Сумма вознаграждения обычно зависит от степени опасности и воздействия рассматриваемой уязвимости.
Преимущества программ Bug Bounty
Программы Bug Bounty становятся все более популярными среди государственного и частного секторов. Участие в таких программах дает тестируемым организациям ряд различных преимуществ.
Обнаружение уязвимостей в усиленном режиме
Основное преимущество программы “охоты за ошибками” заключается в том, что организация выявляет и устраняет ряд уязвимостей в своих приложениях. Если уязвимости будут обнаружены и использованы киберпреступником до того, как организация сможет их исправить, то последствия для организации могут быть катастрофическими. Благодаря программе Bug Bounty у организации появляется больше шансов выявить уязвимости еще до того, как они станут использоваться в реальных атаках. В результате программа позволяет защитить репутацию компании и снижает вероятность серьезных взломов.
Снижение стоимости
Программы Bug Bounty позволяют участвующим в них компаниям экономить значительные средства, причем разными способами. Например, выплата вознаграждения за обнаруженный баг обойдется гораздо дешевле, чем устранение инцидента кибербезопасности, вызванного той же уязвимостью.
Хотя суммы вознаграждений могут сильно различаться, даже самые крупные вознаграждения часто на порядок меньше, чем последствия хакерского взлома, которые могут привести к утечкам данных, остановке производственных процессов и даже к банкротству компании. По условиям программ Bug Bounty , организации платят исследователям только в том случае, если они обнаружили проблему безопасности. Это гораздо выгоднее, чем платить за тот же уровень тестирования безопасности собственными силами или через подрядчиков. Работа специалистов потребует почасовой оплаты, независимо от того, были ими найдены уязвимости или нет.
Доступ к уникальным талантам
Программы Bug Bounty позволяет организации получить доступ к талантам, которых может быть трудно или невозможно привлечь и удержать внутри компании. Многие участники программы Bug Bounty обладают высокой квалификацией и специализируются на выявлении уязвимостей. Этичные хакеры участвуют в Bug Bounty программах, так как они предлагают огромные вознаграждения опытным исследователям на регулярной основе. Брать в штат подобных исследователей накладно, их опыт и знания требует существенных расходов на заработную плату. С помощью программы Bug Bounty организация может провести тестирование на уязвимости силами большого количества этичных хакеров, обладающих разнообразными навыками, что невозможно осуществить при традиционном тестировании на проникновение или сканировании уязвимостей.
Реалистичная симуляция угроз
Одна из самых больших проблем, связанных с тестированием на проникновение и оценкой уязвимости — сделать проверки максимально реалистичными. Ведь организация хочет в первую очередь найти и устранить уязвимости, которыми с большой вероятностью может воспользоваться злоумышленник. С помощью программы Bug Bounty организация платит охотникам за ошибками, чтобы они действовали точно так же, как злоумышленники. Этичные хакеры и киберпреступники имеют примерно одинаковый уровень знаний о компании и доступ к ее системам. В результате оценки уязвимостей, выполненные охотниками за багами, с большой вероятностью будут более реалистичными.
Используйте программы Bug Bounty максимально эффективно
Программы Bug Bounty предназначены для выявления уязвимостей в системах компании в режиме реального времени. Однако, если организация и ее разработчики не учатся на своих ошибках, вознаграждения за ошибки могут повторяться, поскольку этичные хакеры будут продолжать находить одни и те же уязвимости. Поэтому, чтобы программы Bug Bounty имели максимальный эффект, разработчикам необходимо учиться на своих ошибках. Нужно своевременно проводить обучение разработчиков, чтобы научить их распознавать и исправлять ошибки, которые они допускают при написании кода. По мере того, как разработчики усовершенствуют свои знания и навыки безопасного программирования, количество уязвимостей будет уменьшаться, что приведет к снижению затрат на обеспечение безопасности приложений.
Следят ли за вами через веб-камеру? Присоединитесь к нашему ТГ каналу и сделайте свою технику неприступной.
Источник: www.securitylab.ru