2024/03/26 11:12:18

Багхантеры (Bughunter)
Bug bounty
Вознаграждение исследователей безопасности за обнаруженные уязвимости


Содержание

Основная статья: Bug (Баг) - ошибка в компьютерной программе

HackerOne

2024

Комитет ГД одобрил поправки в ГК РФ, направленные на легализацию "белых" хакеров

Комитет Госдумы по госстроительству и законодательству рекомендовал палате парламента принять в первом чтении первый из пакета законопроектов, направленных на легализацию деятельности «белых» хакеров в России. Авторы законопроекта - представители партийного проекта «Цифровая Россия» Антон Немкин, Геннадий Панин, Игорь Марков и комитета Госдумы по информационной политике Вячеслав Петров и Антон Ткачев – предлагают внести ряд поправок в статью 1280 части четвертой Гражданского кодекса РФ. Об этом 25 марта 2024 года сообщила пресс-служба депутата ГосДумы РФ Антона Немкина.

Для проведения тестирования защищенности систем российских компаний «белым» хакерам требуется получить большое количество разрешений от правообладателя каждой программы, входящей в состав информационной системы. Выполнение тестирования без таких разрешений может повлечь нарушение авторских прав. В таком случае «белых» хакеров могут обязать выплатить компенсации в размере от 10 тысяч рублей до 5 млн рублей, либо в двукратном размере стоимости права использования соответствующей программы.Банковская цифровизация: ускоренное импортозамещение и переход на инновации. Обзор и рейтинг TAdviser 13.1 т

Исходя из этого законопроектом предусмотрена возможность изучения, исследования или испытания функционирования программ лицом, правомерно владеющим экземпляром программы для ЭВМ или экземпляром базы данных, в целях выявления его уязвимостей для исправления явных ошибок. Также этот процесс можно поручить иным лицам при соблюдении ряда условий: выявление уязвимостей осуществляется исключительно в отношении экземпляров программ для ЭВМ и базы данных, функционирующих на технических средствах пользователя; передавать информацию о выявленных пробелах можно только правообладателю или тем, кто будет искоренять эти уязвимости, если иное не установлено законом.

Согласно законопроекту, «белые» хакеры должны сообщать правообладателю о выявленных уязвимостях в течение пяти рабочих дней со дня их выявления, за исключением случаев, если установить его место нахождения, место жительства или адрес для переписки не удалось.

Принятие законопроекта позволит проводить анализ уязвимостей в любой форме, без разрешения правообладателей соответствующей программы, в том числе правообладателей инфраструктурных и заимствованных компонентов.

Работа «белых» хакеров должна стать обыденным и необходимым инструментом для российских компаний, уверен один из авторов законопроекта, Антон Немкин.

«
Государственным органам и крупным корпорациям, которые зачастую и сами имеют собственный штат квалифицированных ИТ-специалистов, важно систематически привлекать «белых» хакеров как независимых профессионалов. Это связано с тем, что они могут со своей стороны проверить безопасность информационных систем, используя те же инструменты, что и их неэтичные коллеги. Особенно это важно, когда речь идет о защите огромных массивов персональных данных граждан и доступа к ключевым государственным системам и сервисам – в том числе в условиях беспрецедентных по масштабам и агрессивности внешних атак на подобные ресурсы. Тестируя ИТ-системы на прочность, «белый» хакер действует по поручению и с согласия владельца такой системы и не совершает чего-либо незаконного. Наша цель – добиться того, чтобы это было закреплено в законодательстве, а сами специалисты получили больше свободы для своей работы на благо государства, - отметил депутат.
»

На фоне увеличившегося количества атак на российские информационные системы, Россия нуждается в регулировании, которое выведет работу с такими специалистами в правовую плоскость.

«
Особенно важно защищать ключевые государственные системы и сервисы от беспрецедентных внешних атак – в 2023 году их количество выросло на 65% по сравнению с 2022 годом. Тем не менее, российский рынок баг-баунти находится в стадии становления и пока очень мал — его объем в 2023 году не превысил 200 млн рублей. Отчасти это связано с тем, что в России существуют определенные риски для работы «белых» хакеров, поэтому они не спешат выходить из тени. Мы стараемся решить эту проблему нашими законопроектами. Уверен, когда они вступят в силу, популярность «белых» хакеров возрастет кратно, - заключил Антон Немкин.
»

Услугами этичных хакеров уже пользуются некоторые компании. Например, Яндекс в 2023 году за поиск уязвимостей в сервисах и инфраструктуре заплатил таким специалистам 70 млн рублей. В 2024 году на эти цели выделят уже 100 млн рублей. В компании также проводят конкурсы по поиску конкретных типов ошибок, в рамках которых награды могут увеличиваться в 10 раз по сравнению с обычными выплатами. При этом сам Яндекс видит конкретную пользу от проведения таких конкурсов - они помогают сфокусировать внимание «белых» хакеров на наиболее важных для компании направлениях безопасности. Например, один из таких конкурсов провели специально для поиска уязвимостей, которые могли бы привести к утечкам данных. Свои программы также запускают Ozon, VK, «Тинькофф».

«Яндекс» увеличил награду для охотников за ошибками в умных устройствах до миллиона рублей

Яндекс расширил программу «Охота за ошибками» для умных устройств, добавив в неё изменения 2023 года — Станцию Дуо Макс, Миди и ТВ Станции. Максимальная сумма вознаграждения за найденные уязвимости выросла с 600 тысяч до миллиона рублей. Это поможет привлечь больше «белых хакеров», чтобы проверить устройства на прочность. Об этом Яндекс сообщил 7 февраля 2024 года. Подробнее здесь.

2023

В 2023 году "Яндекс" выплатил этичным хакерам 70 млн рублей

В 2023 году Яндекс выплатил 70 млн рублей участникам программы «Охота за ошибками». Она посвящена поиску уязвимостей в сервисах и инфраструктуре компании. Об этом Яндекс сообщил 12 марта 2024 года. По сравнению с 2022 годом общая сумма выплат увеличилась почти вдвое. Это связано с запуском конкурсов по различным направлениям «Охоты» с повышенными выплатами, увеличением наград и ростом числа участников программы. В 2022 году Яндекс выплатил исследователям около 40 млн рублей. Подробнее здесь.

Positive Technologies запустила свою первую продуктовую программу багбаунти

Positive Technologies запустила свою первую продуктовую программу багбаунти. Об этом компания сообщила 20 декабря 2023 года. Подробнее здесь.

Генпрокуратура и МВД выступают против легализации «белых» хакеров

28 ноября 2023 года Генпрокуратура, МВД и Следственный комитет объявили о том, что не поддерживают инициативу о легализации «белых» хакеров в России. Силовые структуры опасаются, что подобная практика усложнит привлечение к ответственности реальных киберпреступников.

Речь идет о внесении поправок в Уголовный кодекс, которые могут легализовать создание и использование вредоносного софта этичными хакерами по заданию заказчика. Такие специалисты могут за вознаграждение привлекаться компаниями для поиска уязвимостей в своих информационных системах и ПО (концепция bug bounty). Законопроектом предусмотрено, что «белые» хакеры смогут изучать и тестировать продукты на предмет наличия слабых мест и при этом будут должны в обязательном порядке сообщать о найденных «дырах» правообладателю софта. Кроме того, правительство получит право устанавливать требования к выявлению уязвимостей (сейчас их определяет собственно заказчик программы bug bounty).

Прокурутура, МВД и СК выступили против легализации «белых» хакеров

С одной стороны, предлагаемые поправки помогут улучшить ситуацию в сфере кибербезопасности. Как отмечает директор по продуктовому развитию «Солар секьюрити» Владимир Бенгин, более 50% российских этичных хакеров не выходят в легальное поле, поскольку опасаются привлечения к уголовной ответственности. Легализация деятельности таких специалистов устранит данное препятствие. Кроме того, может быть создана платформа, которая упростит взаимодействие «белых» хакеров с компаниями.

Но, с другой стороны, полагают силовые структуры, изменениями в законодательстве могут воспользоваться злоумышленники. К примеру, реальные киберпреступники смогут предъявлять документы о заключении договора на тестирование взломанной информсистемы, чтобы доказать свою невиновность. В таких случаях доказать наличие злого умысла будет проблематично.[1]

Минцифры РФ готовит постоянную программу поиска уязвимостей в электронном правительстве

Минцифры РФ готовит постоянную программу поиска уязвимостей в электронном правительстве. О планах ведомства стало известно 9 ноября 2023 года.

В этот день газета «Коммерсантъ» со ссылкой на источники на ИТ-рынке написала о том, что Минцифры до конца 2023 года запустит программу Bug Bounty (тестирование информационных систем «белыми хакерами» на наличие уязвимостей) для 9 собственных сервисов, среди которых - Единая биометрическая система (ЕБС), Единая система идентификации и аутентификации и Единая система нормативной справочной информации.

Минцифры запустит программу поиска уязвимостей в электронном правительстве

Первую инициативу Bug Bounty Минцифры запустило на Госуслугах в партнерстве с Positive Technologies (Standoff 365 Bug Bounty) и BI.Zone (BI.Zone Bug Bounty), они длилась три месяца. Новая программа планируется на год с теми же партнерами, рассказали газете осведомленные собеседники.

Как сообщил директор центра противодействия кибератакам Solar JSOC Владимир Дрюков (участвует в тестировании совместно с «Ростелеком Информационная безопасность»), первый проект Bug Bounty был тестовым, с ограниченным сроком и числом систем для исследования, теперь программу запустят на постоянной основе.

В публикации «Коммерсанта» отмечается, что Минцифры стала единственной госструктурой, которая провела тестирование поиска уязвимостей белыми хакерами на собственных системах. По мнению опрошенных изданием экспертов, подобный опыт необходимо расширить и на сервисы остальных ведомств. Однако к ноябрю 2023 года распространении инициативы в широком круге говорить преждевременно отчасти из-за отсутствия технических и финансовых ресурсов для комплексного анализа уязвимостей, а также возможного дефицита кадров, считает зампред совета по развитию цифровой экономики при Совете федерации Артем Шейкин. [2]

Минцифры поделилось результатами bug bounty Госуслуг и ЕСИА

Минцифры в рамках конференции TAdviser SummIT Кибербезопасность в октябре 2023 года раскрыло текущие результаты программы коммерческого поиска уязвимостей (bug bounty) в сервисах Госуслуги и ЕСИА. На текущий момент в рамках исследования, которое длиться с февраля 2023 года, было выявлено 37 уязвимостей, за которые было выплачено 1,95 млн рублей. Оплата была осуществлена компанией Ростелеком - оператором обоих сервисов. Программа открытого тестирования сайтов вначале Госуслуг, а затем и ЕСИА была инициирована Минцифры 10 февраля сразу на двух отечественных платформах BI.ZОNE Bug Bounty и Standoff 365. На текущий момент в исследовании приняло участие более 8 тыс. специалистов, которые предоставили в общей сложности 187 отчётов.

«
Опыт исследования был признан успешным, – отметил Евгений Хасин, заместитель директора департамента обеспечения кибербезопасности Минцифры. – За такие деньги такие уязвимости мы раньше не могли найти. Во время исследования были выявлены в том числе и архитектурные уязвимости. Кроме того, был отработан процесс информирования ФСТЭК об обнаруженных уязвимостях. Для нас это наиболее дешевый способ поиска уязвимостей и проверки работы нашего SOC
»

.

Понятно, что при тестировании подобной высоконагруженной системы для исследователей были установлены достаточно жёсткие требования: не нарушать функционирование и доступность ГИС, не использовать физического проникновения в инфраструктуру, не применять практики социальной инженерии и взлома учётных записей пользователей, не продвигаться во внутренний периметр, не скачивать данные из системы и не искажать их. Выплаты осуществлялись только при условии, что все эти требования соблюдены.

Результаты программы коммерческого поиска уязвимостей для Госуслуг и ЕСИА

По словам Евгения Хасина коммерческие программы поиска уязвимостей имеют серьезные преимущества перед классическим тестом на проникновение (пентестом), которые ранее уже использовали для проверки защищённости указанных государственных сервисов. В частности, она работает непрерывно, в отличии от пентеста, который приходится проводить регулярно. В исследовании участвует неограниченное количество исследователей, поэтому оно не ограничивается квалификацией одного пентестера или компании. Оплата выполняется за реально подтвержденную уязвимость – за этим следит платформа, организующая и контролирующая процесс поиска уязвимостей. В результате, для хорошо защищённых ресурсов выплаты за обнаруженные уязвимости оказываются дешевле, чем регулярное проведение достаточно дорогих пентестов.

Минцифры планирует запустить программы bug bounty

В 2023 году Минцифры планирует запустить программы по поиску уязвимостей за вознаграждение для 20 информационных систем. Кроме того, планируется расширить полномочия исследователей-соискателей. О планах по запуску 6 октября 2023 года сообщил заместитель директора департамента кибербезопасности Минцифры Евгений Хасин.

«
Эффективность такой практики доказана, она находит свое применение не только в работе Минцифры и госструктур, но и бизнеса. В целом подобный анализ защищенности информационных систем должен проводиться на регулярной основе, – пояснил он.
»

Евгений Хасин сообщил, что в начале 2023 года программа уже была опробована на Госуслугах. В результате общая сумма, выплаченная белым хакерам, составила около 2 млн рублей.

«
Работы проводились Минцифры вместе с Ростелекомом. Платформа bug bounty для госуслуг предоставлялась компаниями Positive Technologies и BI.ZONE, – пояснил представитель министерства.

»

В 2022 году и государственный, и бизнес-сектор столкнулись с большим количеством кибератак, в том числе, в отношении критической инфраструктуры, отметил член комитета Государственной Думы по информационной политике, информационным технологиям и связи Антон Немкин.

«
При этом, подобные события послужили некоторым стимулом для развития отрасли информационной безопасности. Особенно в контексте интеграции новых, успешных международных практик, тех же белых хакеров. На уровне отдельных компаний ужк достигнуто понимание того, что белые хакеры должны стать частью политики по обеспечению информационной безопасности, – считает депутат.
»

В целом, bug bounty можно рассматривать как дополнительный способ оценки своей собственной защиты, считает Антон Немкин.

«
Нужно понимать, что современная кибербезопасность не только про выполнение регуляторных практик, которые определяет, например, ФСТЭК, но и про постоянную самопроверку. Атаки на программные решения и инфраструктуру происходят постоянно, поэтому и защита должна стать постоянной и непрерывной. Государство также нацелено на системное развитие этой отрасли. Поэтому вопрос прорабатывается и в Минцифре, и в нашем комитете. Здесь видится два основных направления деятельности: с одной стороны, это создание площадок, на которых такие практики будут реализовывать, а с другой стороны – большая работа по популяризации направления среди бизнеса и государственных учреждений, – сказал парламентарий.
»

Innostage защищает клиентов от наступления недопустимых событий

Компания Innostage 22 сентября 2023 года сообщила о том, что проверит уровень защиты собственной информационной инфраструктуры при помощи программы bug bounty. Подробнее здесь.

Импортозамещение «белых хакеров». Определены главные тренды Bug Bounty в России

Первопроходцами в применении bug bounty были крупные компании из финансовой сферы, ритейла, ИТ. Теперь же и средний, и даже малый бизнес приходит к тому, что это эффективный инструмент анализа защищённости. Такой тренд отмечают в компании BI.Zone, которая 24 августа 2023 года подвела итоги работы своей платформы BI.Zone Bug Bounty за год.

Другой тренд - интерес госсектора к bug bounty. Теперь на платформе BI.Zone Bug Bounty есть информационные системы и из этой сферы. Во многом за счёт того, что на этот инструмент анализа защищённости обратило внимание Минцифры, его освоение получило толчок и в госсекторе. Сначала в тестовом режиме была запущена программа bug bounty по «Госуслугам». А теперь готовится большое количество и других программ bug bounty, которые позже будут опубликованы, отметил Евгений Волошин, директор по стратегии BI.Zone.

В работе с этим сегментом по сравнению с бизнесом присутствует некоторая специфика. В целом административно для площадки bug bounty работать с госсектором немного сложнее из-за формализации и бюрократизированности процессов, пояснил Евгений Волошин, отвечая на вопросы TAdviser. Вместе с тем, отметил он, конкретно с Минцифры всё идёт очень бодро.

Рамазан Рамазанов, багхантер, руководитель отдела внешних пентестов компании DeteAct (предоставляет услуги по анализу защищённости приложений, тестированию на проникновение инфраструктуры, аудиту безопасности архитектуры), считает, что у «белых хакеров» и у него лично бывают некоторые опасения при работе с государством: «изначально многие думали, что к ним могут заявиться `маски-шоу`», поэтому присутствует некоторая настороженность.

Bug bounty в России стремительно набирает популярность

В числе трендов на российском рынке услуг bug bounty в BI.Zone отмечают то, что сообщество стало привыкать к отечественным площадкам. В 2022 году зарубежные платформы bug bounty, включая самую популярную – HackerOne – резко прекратили работать в России. А зарубежные багхантеры «отвалились» для российских компаний в том числе из-за проблем с платежами ввиду санкций. На этом фоне активно стали развиваться аналогичные российские платформы.

И в прошлом году, и в 2023 году здесь насчитывается три основных игрока: платформа Bugbounty.ru, которую развивает компания «Синклит» и которая была запущена раньше других, Standoff 365 Bug Bounty от Positive Technologies и BI.Zone Bug Bounty от BI.Zone.

На платформе BI.Zone Bug Bounty, стартовавшей в августе 2022 года, по состоянию на август 2023-го представлены 17 компаний и 51 публичная программа, привёл данные Евгений Волошин.

В числе клиентов такие компании, как «Тинькофф», Avito, VK, Ozon, «СберАвто», «СберМаркет». Одной из последних публичную программу bug bounty запустила ГК «Астра» для поиска уязвимостей в своей ОС Astra Linux. А одним из пользователей непубличных программ в BI.Zone называют Сбер.

Евгений Волошин в разговоре с TAdviser отметил, что из того, что можно видеть сейчас, примерно половина компаний-пользователей их платформы также использует и ещё одну или две платформы bug bounty из представленных на рынке.

«Тинькофф», к примеру, теперь представлен на всех трёх российских площадках после того, как из России ушла HackerOne, которой он ранее пользовался. Дмитрий Гадарь, вице-президент, директор департамента информационной безопасности «Тинькофф», говорит, что за первое полугодие 2023 года по количеству ежемесячных отчётов об уязвимостях их компания уже вышла на уровень, который был до февраля 2022-го. А по суммарному количеству отчётов за полгода 2023 года «Тинькофф» уже в 3 раза превысил количество таковых за весь 2022 год.

«
Кажется, что тренд максимально позитивный, и мы возвращаемся в то состояние, в котором мы находились на международных площадках, - отмечает Дмитрий Гадарь.
»

Общее количество «белых хакеров», участвующих в программах bug bounty на российских площадках, при этом оценивается примерно в 4 тыс. человек. Это существенно меньше, чем было в целом доступно российским клиентам ранее, когда их системы могли «ломать» эксперты со всего мира на международных площадках. Привлечение иностранных багхантеров сейчас идёт довольно медленными темпами. Вместе с тем, в ранее публиковавшейся статистике с международных площадок Россия числилась среди стран-лидеров по количеству багхантеров.

За год на BI.Zone Bug Bounty было выплачено «белым хакерам» более 15 млн рублей за найденные уязвимости. Из всех «находок» 13% относятся к уязвимостям критичным и высокой степени серьёзности – т.е. к таким, которые могут привести к остановке бизнеса или сервиса, краже данных или денег. В ряде случаев при реализации таких уязвимостей бизнес мог бы понести миллиардные убытки, говорит Евгений Волошин.

«Яндекс» открыл охоту хакеров на особые «дыры» в своих сервисах, максимальная награда - 2,8 млн рублей

«Яндекс» запускает конкурс в программе «Охота за ошибками», в рамках которого этичным хакерам предстоит искать в сервисах «Яндекса» ошибки и уязвимости, которые могут привести к раскрытию чувствительной информации. Максимальная награда за критическую уязвимость составит 2,8 млн рублей — это в 5 раз больше обычной выплаты по этим категориям программы, поделились с TAdviser представители «Яндекса» 1 августа 2023 года. Подробнее здесь.

«Белые» хакеры нашли 34 уязвимости портала госуслуг – «много всего интересного»

19 мая 2023 года Минцифры сообщило о результатах программы bug bounty по порталу госуслуг, которая была запущена в начале февраля. По данным ведомства, более 8,4 тыс. участников bug bounty со всей России проверяли защищённость портала и боролись за вознаграждение. Всего было обнаружено 34 уязвимости, большинство из которых — со средним и низким уровнем критичности.

За критические уязвимости предусматривались денежные выплаты до 1 млн рублей в зависимости от уровня критичности найденной уязвимости. В итоге максимальная выплата за найденный баг составила 350 тыс. рублей. минимальная — 10 тыс. рублей.

В проверке защищённости портала госуслуг приняли участие более 8,4 тыс. багхантеров (фото - akket.com)

Тестирование проходило на платформах BI.Zone Bug Bounty и Standoff 365. Спонсором проекта выступил «Ростелеком», «РТК-Солар» является оператором информационной защиты портала госуслуг.

Доступа к внутренним данным у багхантеров не было, говорят в Минцифры. Участники работали только на внешнем периметре, а найденные уязвимости полностью контролировались системами мониторинга, чтобы их нельзя было использовать для взлома.

«
У нас была гипотеза, что если мы проведём bug bounty, то за достаточно малое количество выделенных средств мы сможем радикально повысить уровень защищённости, найти много уязвимостей, и ничего плохого при этом не случится. Мы её долго согласовывали и проговаривали с другими регуляторами, потому что всё новое вызывает очень много рисков и опасений, – отметил директор департамента обеспечения кибербезопасности Минцифры Владимир Бенгин на PHDays 19 мая. – На сегодняшний день мы считаем, что первый этап bug bounty закончен Минцифры, и он прошёл категорически успешно.
»

Владимир Бенгин добавил, что системы мониторинга расценивали любое исследование, как стандартную атаку, не отличая исследователей от атакующих – такой возможности технически не было. И в ведомстве были уверены, что по факту уязвимостей не будет найдено совсем либо будет найдено, но немного.

«
Но нет, нашли много всего интересного – несколько десятков уязвимостей разной критичности. Часть уже устранили, часть нивелировали, – отметил директор департамента обеспечения кибербезопасности Минцифры.
»

Это сложная процедура, где надо чётко отработать много нюансов. Самым сложным оказалось выстраивание системной работы по отработке отчётов, потому что было задействовано большое количество хакеров, и от них поступало много сообщений. И по каждой уязвимости в ведомстве были вынуждены, когда подтверждали и понимали, что такая уязвимость действительно существует, брать все системы мониторинга и проверять исторически, были ли факты срабатывания ранее, эксплуатировал ли кто-либо эту уязвимость.

«
Это тяжёлая работа, но суперполезная, - отметил Владимир Бенгин.
»

В Минцифры планируют в будущем пи дальше проводить bug bounty «Госуслуг», а также расширить действие программы на другие ведомства.

Минцифры: В России очень мало «белых» хакеров

В середине апреля 2023 года в Министерстве цифрового развития, связи и массовых коммуникаций РФ сообщили о небольшом количестве так называемых «белых» хакеров («пентестеров») в стране, поэтому бизнес решил запустить программы обучения таких специалистов.

«
У нас, кстати, очень мало пентестеров в стране оказалось. На протяжении последнего года все топовые команды заняты и не только топовые, но и маленькие команды, совсем маленькие тоже говорят - у всех заказов очень много. И, оказывается, хакеров у нас мало. Поэтому запустили несколько обучений. За это компаниям спасибо, - заявил директор департамента обеспечения кибербезопасности Минцифры Владимир Бенгин на одном из форумов 14 апреля 2023 года.
»

Бизнес решил запустить программы обучения «белых» хакеров

По его словам, за последние четыре месяца появилось два-три новых курса. Он добавил, что Минцифры выступает за обучение «белых» хакеров «в отрасли».

«Белые» или «этичные» хакеры — это кибервзломщики, использующие свое мастерство во благо. Они помогают разработчикам искать бреши в их продуктах, но отнюдь не на бесплатной основе. Символом этого движения является белая шляпа, откуда и пошло название «белых» хакеров. Ранее сообщалось, что Минцифры работает над легализацией деятельности «этичных» хакеров. Как писали «Ведомости», министерство рассматривало возможность введения понятия bug bounty в правовое поле.

Это связано с тем, что понятие bug bounty не фигурирует в действующем российском законодательстве, то есть такие хакеры могут в любой момент протестировать на себе качество исполнения в России наказаний, предусмотренных уголовным кодексом.

В марте 2023 года секретарь Совбеза РФ Николай Патрушев призвал ведомства минимизировать риски утечек информации. Он отметил, что стоит учитывать повышенную опасность нанесения вреда российской информационной инфраструктуре, возможность ее блокирования, уничтожения и компрометации и укреплять защиту отечественного цифрового пространства.[3]

ФСБ и ФСТЭК оказались против законопроекта о «белых хакерах»

Федеральная служба безопасности (ФСБ) и Федеральная служба по техническому и экспортному контролю (ФСТЭК) оказались против законопроекта о «белых хакерах» из-за положений Уголовного кодекса, связанных с неправомерным доступом к информации. В связи с этим принятие инициативы может быть отложено, пишут «Ведомости» в номере от 27 марта 2023 года.

В законопроекте речь идет, в частности, об изменениях в ст. 272 УК РФ «Неправомерный доступ к компьютерной информации», рассказал изданию источник в одной из компаний по кибербезопасности, знакомый с документом. Эта статья подразумевает незаконное получение доступа к охраняемой законом компьютерной информации, если эти действия повлекли, в частности, модификацию и копирование этой информации. Максимальная ответственность по данной статье – семь лет лишения свободы, отмечает газета.

Принятие законопроекта о «белых хакерах» может быть отложено из-за возражений ФСБ и ФСТЭК

По словам одного из собеседников «Ведомостей», позицию ФСБ и ФСТЭК выражали их сотрудники на рабочих совещаниях по законопроекту в Минцифры. Как утверждает один из собеседников, грань между уголовно наказуемыми действиями и легальными «очень зыбкая», а «менять УК никто не будет».

По словам адвоката Максима Маценко, руководителя уголовной практики Vinder Law Office, проблемы уязвимости «белых хакеров» не существует. Участие хакера в программе по поиску уязвимостей за деньги предполагает, что компании, принимающие участие в проекте, добровольно предоставляют свои сети для поиска уязвимостей, объясняет он. Это полностью исключает уголовную ответственность при условии, что хакер не выходит за пределы своих прав, отметил юрист.

По мнению опрошенных газетой юристов, к марту 2023 года в УК РФ есть целый ряд статей, под которые может подпадать деятельность белых хакеров. В их числе «неправомерный доступ к компьютерной информации», «создание, использование и распространение вредоносных компьютерных программ», «нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации».[4]

Открыта программа поиска «дыр» в «Госуслугах». Белым хакерам готовы платить до 1 млн рублей за найденную уязвимость

Как и предсказывали ранее источники TAdviser на рынке ИБ (см. публикацию в блоке ниже), на неделе с 6 по 12 февраля 2023 года Минцифры запустило проект по поиску уязвимостей в «Госуслугах» и других ресурсах электронного правительства. Анонсирован он был, в частности, 10 февраля. Сторонние багхантеры проверят защищённость электронного правительства впервые.

Программа пройдёт в несколько этапов. На первом этапе, который продлится 3 месяца, независимые исследователи проверят портал «Госуслуг» и Единую систему идентификации и аутентификации (ЕСИА). На следующих этапах список ресурсов будет расширен, а условия — обновлены.

Минцифры анонсировало программу bug bounty по «Госуслугам» (изображение: Минцифры)

Призовой фонд программы составляет 10 млн рублей. Спонсирует её «Ростелеком», который отвечает за эксплуатацию инфраструктуры электронного правительства.

Вознаграждение багхантерам зависит от степени найденной уязвимости:

  • низкая — подарки с символикой проекта;
  • средняя — до 50 тыс. рублей;
  • высокая — от 50 до 200 тыс. рублей;
  • критическая — до 1 млн рублей и благодарность от команды Минцифры.

Тестирование доступно на платформах BI.ZONE и Positive Technologies.

Принять участие в программах могут граждане России. Возраст участников на BI.ZONЕ Bug Bounty — от 18 лет, на Standoff 365 Bug Bounty можно участвовать с 14 лет, если есть письменное согласие родителей.

Задача — найти баги и передать в Минцифры. Логику и пути взлома проконтролируют кураторы проекта.

Для участия нужно:

  • Зарегистрироваться на выбранной платформе;
  • Ознакомиться и согласиться с условиями программы;
  • Найти уязвимость, не нарушая правил;
  • Отправить информацию об уязвимости через платформу;
  • Дождаться подтверждения уязвимости от Минцифры.

«
В 2022 году количество попыток взлома государственных ресурсов выросло на 80% по сравнению с 2021 годом. Минцифры предлагает багхантерам присоединиться к программе, чтобы отработать новые сценарии взлома и найти максимум уязвимостей в защите, - говорится в описании программы на «Госуслугах».
»

Стартует госпрограмма поиска уязвимостей. Белые хакеры поищут «дыры» в «Госуслугах» и ЕСИА

На неделе с 6 по 12 февраля 2023 года Минцифры рассчитывает запустить программу bug bounty для поиска уязвимостей «Госуслуг». Об этом в начале февраля рассказали TAdviser три источника на рынке ИБ и подтвердил источник, близкий к Минцифры.

Запущена она будет, в частности, на ресурсах ИБ-компаний Bi.Zone и Positive Technologies, у которых уже действуют платформы bug bounty по отработанным правилам и стандартам.

TAdviser обращался за комментариями во все вышеперечисленные организации, но там пока не готовы что-либо рассказывать.

Услуги Минцифры в рамках bug bounty по «Госуслугам» провайдеры площадок окажут бесплатно. По информации TAdviser, «белые хакеры» поищут уязвимости в том числе в единой системе идентификации и аутентификации в инфраструктуре электронного правительства РФ (ЕСИА), которая обеспечивает доступ к государственным ресурсам.

Чтобы проводить bug bounty для государственных информационных систем, необходимо решить много юридических моментов (фото - cisomag.com)

О планах провести bug bounty по «Госуслугам», напомним, в октябре на конференции TAdviser IT Government Day рассказывал министр цифрового развития Максут Шадаев. Ведомство рассчитывало объявить и провести её до конца 2022 года.

Источник, близкий к одной из компаний-участниц проекта, говорит, что некоторая задержка связана с тем, что для проведения программы было необходимо разобраться с множеством юридических нюансов.

По его же данным, одна из обсуждаемых идей – после «обкатки» на «Госуслугах» сделать bug bounty обязательной нормой при вводе государственных информационных систем в эксплуатацию. Но это, скорее всего, не произойдёт быстро: в данном случае потребуется более сложная процедура согласования с ФСТЭК и прояснение юридических моментов, в том числе – каким образом владельцы госинформсистем смогут оплачивать такие услуги.

Соответствующая норма о bug bounty может быть включена в дальнейшем в постановление правительства РФ от 6 июля 2015 г. N 676 «О требованиях к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации», добавил собеседник TAdviser.

2022

VK заплатила белым хакерам более 37 миллионов рублей

За 2022 год, в котором программа багбаунти VK начала реализовываться на отечественной платформе, компания суммарно заплатила белым хакерам более 37 млн рублей. При этом стратегическая цель ИТ-компании – обеспечить полноценную интеграцию багхантеров в архитектуру информационной безопасности из-за эффективных результатов подобных программ. Подробнее здесь.

Минцифры будет проверять защищенность Госуслуг сразу на двух площадках, но платить белым хакерам не станет

Как стало известно в конце октября 202 года, Минцифры планирует проверять защищенность Госуслуг сразу на двух площадках, но платить белым хакерам ведомство не будет.

Как пишут «Ведомости» со ссылкой на представителей Positive Technologies и «Киберполигона», эти компании привлечены Минцифры для поиска уязвимостей на портале Госуслуг. К концу октября 2022 года ведомство согласовывает общую концепцию с другими органами исполнительной власти, рассказали газете в Минцифры.

Минцифры будет проверять защищенность Госуслуг

Предполагается, что денежные вознаграждения белых хакерам всё же будут предоставляться, но уже напрямую от самих площадок в рамках увеличения опыта экспертов и проверки уровня защищённости Госуслуг.

Представитель Минцифры пояснил газете, что на данном этапе это инициатива самих ИБ-компаний, которая на текущем этапе не предусматривает денежного вознаграждения от ведомства, а доступ к этой программе будет открыт для всех участников на равных условиях.

При этом в Минцифры заметили, что подобные инициативы отраслевых игроков, их готовность к работе являются «очередным показателем отзывчивости ИТ-сообщества и его вовлеченности в цифровую защищенность государства».

Опрошенные газетой участники рынка информационной безопасности считают, что исследователи не станут работать бесплатно или в этом случае они всё равно найдут способ монетизировать информацию о найденных проблемах, например, будут продавать отчёты по уязвимостям в даркнете. Для минимизации этих рисков руководители багбаунти-площадок будут сами платить небольшие суммы, а за обнаружение уязвимостей в данном случае белые хакеры будут получать опыт и увеличивать свой личный рейтинг на платформе.

Глава Минцифры РФ Максут Шадаев 5 октября 2022 года анонсировал проведение до конца года программы Bug Bounty для портала Госуслуг, чтобы поощрять специалистов в поиске ошибок в системах сервиса. [5]

Bug Bounty в России: состояние рынка и перспективы. Обзор TAdviser

В мире растёт популярность программ bug bounty, в ходе которых компания привлекает сторонних специалистов по безопасности – так называемых «белых хакеров» – для тестирования своего ПО на уязвимости за вознаграждение или иные «плюшки». В отличие от пентестов с привлечением подрядчиков, в случае с bug bounty оплата происходит за обнаруженные уязвимости, а не за время, потраченное ИБ-специалистом. В России интерес к этой практике тоже увеличивается, причем не только со стороны бизнеса, который раньше начал прибегать к bug bounty, но появляется и со стороны госсектора. TAdviser изучил текущее состояние и перспективы этого рынка и подготовил соответствующий обзор. Партнёром материала выступила компания Positive Technologies. Подробнее здесь.

VK выплатила исследователям безопасности три миллиона рублей

18 октября 2022 года компания VK сообщила о получении 300 отчетов об уязвимостях от внешних экспертов за три месяца работы программы по поиску уязвимостей (bug bounty) на платформе Standoff 365 Bug Bounty, разработчиком которой выступает Positive Technologies. Более половины сообщений эксперты VK признали существенными, выявленные на их основе уязвимости были устранены. При этом более 50 исследователей безопасности получили вознаграждение на общую сумму три миллиона рублей. Подробнее здесь.

BI.Zone представила платформу по поиску уязвимостей BI.Zone Bug Bounty

25 августа 2022 года компания BI.Zone (Безопасная Информационная Зона, Бизон) представила платформу Bug Bounty, на которой прошли предрегистрацию более 300 багхантеров. «Авито» станет первой компанией, которая разместит свою публичную программу bug bounty. Подробнее здесь.

VK присоединилась к платформе по поиску уязвимостей The Standoff 365 от Positive Technologies

8 августа 2022 года VK сообщила об участии в платформе The Standoff 365 Bug Bounty, разработчиком которой выступает Positive Technologies. ИТ-компания разместила на платформе программу по поиску уязвимостей (bug bounty), которая с помощью внешних экспертов помогает находить недостатки в системе безопасности и устранять их до обнаружения злоумышленниками. Подробнее здесь.

Минцифры легализует госвыплаты белым хакерам

17 июля 2022 года стало известно о решении Министерства цифрового развития, связи и массовых коммуникаций РФ легализовать так называемых белых хакеров, которые зарабатывают на поиске уязвимостей в ИТ-системах.

Как пишут «Ведомости» со ссылкой источник в одной из российских компаний-разработчике инструментов кибербезопасности, Минцифры закрепит в законодательстве понятие bug bounty (выплата вознаграждения за обнаружение уязвимостей) и запустит для них бонусную программу. Таким образом белых хакеров можно будет привлекать к анализу уязвимостей в информационных государственных системах, при этом они избегут обвинений в «неправомерном доступе к компьютерной информации», говорится в публикации.

Минцифры планирует легализовать белых хакеров

Опрошенные изданием эксперты считают, что юридическое определение в правовом поле действий пентестов, которые проводят анализ систем на наличие уязвимостей, а также программ выплат вознаграждения хакерам за обнаружение уязвимостей по аналогии с зарубежными bug bounty позволит легализовать действия белых хакеров и даст возможность им использовать и дорабатывать специальные программные инструменты в рамках усиления механизмов кибербезопасности. Представители рынка считают, что к июлю 2022 года многим компаниям проще обратится в полицию и завести на хакера уголовное дело, а не платить ему за обнаруженные проблемы.

Законодательно закрепленное понятие может стать одним из стандартов оценки реальной защищенности организаций как коммерческих, так и государственных, считает руководитель проекта The Standoff от Positive Technologies Ярослав Бабин.

В апреле 2022 года на фоне уезда ИТ-специалистов из России после начала спецоперации на Украине Минцифры выступило с предложением рассмотреть возможность прямой финансовой поддержки белых хакеров. Представители министерства тогда выдвинули инициативу по выделению денежных средств для проведения так называемых пентестов (анализ систем на наличие уязвимостей) и программ bug bounty, когда за обнаружение уязвимостей выплачивается вознаграждение. [6]

В России создается площадка для выплаты хакерам за поиск дыр в ПО

После того, как международная платформа по поиску уязвимостей HackerOne перестала выплачивать гонорары российским и белорусским хакерам, в РФ задумались над созданием альтернативных площадок. Одну из таких компания «Киберполигон» запустит 1 апреля 2022 года, о чем стало известно накануне. Подробнее здесь.

Apple выплатила рекордные $100 тыс. взломавшему веб-камеру компьютера студенту

В конце января 2022 года Apple выплатила вознаграждение за ошибку в размере $100 тыс. после того, как студент факультета кибербезопасности, успешно взломавший камеру iPhone в 2019 году, сделал то же самое с Mac-компьютерм. Подробнее здесь.

2021

Количество программ bug bounty увеличилось на 34%

Компания Positive Technologies 26 октября 2022 года сообщила о том, что проанализировала крупные и активные платформы bug bounty по всему миру. Эксперты отметили, что наиболее востребованными платформы оказались у ИТ-компаний (16%), онлайн-сервисов (14%), сферы услуг (13%) и торговли (11%), финансовых организаций (9%). Этот мировой тренд в целом коррелирует с российским.

В 2021 году количество программ bug bounty, по данным HackerOne, увеличилось на 34%, а исследователи безопасности выявили на 21% больше уязвимостей. По оценкам экспертов, к 2027 году рынок bug bounty может вырасти до $5,5 млрд.

По данным Positive Technologies, лидер по количеству крупных bug-bounty-платформ — Азиатский регион, в котором располагаются 38% проанализированных ресурсов. На втором месте расположился Европейский регион, включая Россию: здесь находится треть исследованных платформ, в том числе одни из наиболее крупных, например Intigriti, YesWeHack, Zerocopter и Standoff 365 Bug Bounty. Доля платформ Североамериканского и Ближневосточного регионов составила 21% и 8% соответственно.

Запуск программы по выплате $5 тыс. за найденные дыры в своих ИТ-системах

14 декабря 2021 года Министерство внутренней безопасности США (DHS) объявило о запуске программы, в рамках которой предлагает денежное вознаграждение за нахождение недостатков и уязвимостей в своих ИТ-системах. Подробнее здесь.

На черном рынке сильно подешевели хакерские программы

В начале июля 2021 года стало известно о снижении на черном рынке стоимости хакерских программ (так называемых эксплоитов), используемых для поиска уязвимостей в системах разных производителей. Об этой тенденции сообщили в компании Trend Micro, специализирующейся на создании продуктов для обеспечения информационной безопасности. Подробнее здесь.

Mail.ru Group выплатила очередную премию исследователю в размере $40 000

VK (ранее Mail.ru Group) выплатила очередную премию исследователю в размере 40 000 долларов. Об этом стало известно 8 июля 2021 года. Суммарный объем вознаграждений, которые компания выплатила по программе, превысил 2 млн долларов.

Программа поиска уязвимостей Mail.ru Group работает на платформе для экспертов по кибербезопасности HackerOne с 2014 года. Она помогает исследователям найти недостатки в системе безопасности и устранить их до того, как их обнаружат злоумышленники. Масштабная программа охватывает практически все проекты экосистемы VK (которую развивает Mail.ru Group), позволяя повысить их защищенность.

Размер вознаграждения за обнаруженную уязвимость зависит от ее критичности. Выплаты варьируются от 150 до 40 000 долларов, а самая дорогая уязвимость из заявленных в программе оценивается в 55 000 — это один из самых высоких показателей на ИТ-рынке.

Mail.ru Group выплачивает вознаграждения исследователям каждую неделю.

Всего с момента запуска было принято почти 5000 отчетов от чуть более чем 3400 исследователей безопасности.

«
Программа поиска уязвимостей – важный инструмент обеспечения безопасности, который мы активно используем. Это сродни регулярному прохождению диспансеризации: чем чаще ты ходишь к опытным врачам - тем больше шансов, что все возможные проблемы со здоровьем отлавливаются на ранней стадии и не приводят к кризису. С нами сотрудничают лучшие эксперты со всего мира. Они помогают нам в обнаружении малейших угроз безопасности и получают за это заслуженную награду – не только деньги, но и признание в сообществе. Над устранением всех обнаруженных уязвимостей мы работаем максимально оперативно, что позволяет поддерживать высокий уровень безопасности наших продуктов, – отметил Алексей Гришин, руководитель программы поиска уязвимостей, Mail.ru Group[7].
»

Кибермошенники начали привлекать к работе «белых хакеров» под видом ИБ-компаний

В апреле 2021 года стало известно о том, что международная хакерская группировка FIN7 начала приглашать на работу «белых хакеров» (пентестеров, специалистов по анализу защищенности информационных систем) под видом компаний Check Point Software Technologies и Forcepoint, специализирующихся на информационной безопасности. Нанятые специалисты не подозревают, что работают на кибермошенников, сообщил глава блока экспертных сервисов Bi.Zone Евгений Волошин в разговоре с «Коммерсантом».

В компании Bi.Zone рассказали, что FIN7 разработала программу, которая маскируется под инструмент для анализа защищенности сетей Windows. Теперь кибермошенники атакуют крупные компании США, прикидываясь легальной организацией по кибербезопасности.

Международная хакерская группировка FIN7 начала привлекать к работе «белых хакеров» под видом ИБ-компаний

В Positive Technologies изданию описали еще одну схему атаки на «белых хакеров»: участники северокорейской киберпреступной группировки Lazarus знакомились с ними в соцсетях и мессенджерах, после чего присылали ссылку на статью в блоге. Если жертва использовала браузер Google Chrome, при переходе в блог ее компьютер заражался через эксплуатацию уязвимости нулевого дня. Это позволяло злоумышленникам найти на компьютерах «пентестеров» ценную информацию.

Глава представительства Check Point в России и СНГ Василий Дягилев подтвердил существование проблемы, при которой кибермошенники привлекают «белых хакеров», прикидываясь легальной компанией. По его словам, злоумышленники рассчитывают воспользоваться доверчивостью компаний, которые стремятся сэкономить на проведении нормального пентеста, «название известного бренда позволяет им войти в доверие». Во время теста на проникновение или в результате удачного обнаружения брешей в защите специалисты часто получают высокий уровень привилегий для доступа к системе.[8]

2020

$35 тыс. за поиск уязвимостей

В конце ноября 2020 года Министерство цифровой трансформации Украины объявило о программе выплате вознаграждений за поиск уязвимостей в единой системе электронных госуслуг услуг «Дiя». Об этом сообщает пресс-служба ведомства в Facebook и его глава ведомства Михаил Федоров в Telegram. Подробнее здесь.

Microsoft увеличила выплаты за поиск уязвимостей в своём ПО в 3 раза

В начале августа 2020 года стало известно, что за год Microsoft потратила за 2020 финансовый год около $13,7 млн за сообщения об ошибках безопасности в своем программном обеспечении. Эта цифра в три раза превышает сумму, полученную исследователями ПО годом ранее ($4,4 млн).

Награды Microsoft за обнаружение ошибок в софте - один из крупнейших источников финансовых вознаграждений для хакеров и исследователей, которые изучают программное обеспечение на наличие угроз безопасности и сообщают о них поставщику, а не продают киберпреступникам через подпольные рынки. Microsoft создала 15 программ поощрения, благодаря которым специалисты смогли заработать $13,7 млн за период с 1 июля 2019 года по 30 июня 2020 года.

«
Исследователи, которые уделяют время обнаружению проблем безопасности до того, как их смогут использовать злоумышленники, заслуживают наше уважение и благодарность, - заявили в организации Microsoft Security Response Center.
»

Microsoft утроила вознаграждение за поиск уязвимостей в своём ПО

Общие ежегодные выплаты Microsoft в этой сфере намного превосходят награды Google, которые компания предоставляет за выявление уязвимостей в своем программном обеспечении - всего $6,5 млн. Впрочем, даже эта цифра вдвое превышает выплаты поискового гиганта за 2019 год. Microsoft заявляет, что более высокие общие выплаты в 2020 году обусловлены запуском шести новых программ вознаграждений и двух новых исследовательских грантов. Они привлекли более 1000 отчетов от более 300 исследователей. Microsoft также предполагает, что социальное дистанцирование во время пандемии COVID-19 вызвало всплеск исследований в области безопасности.

«
В течение первых нескольких месяцев пандемии мы наблюдали активный прирост участников программ и рост числа отчетов по всем 15 программам вознаграждения, - заявила Microsoft.[9]
»

Apple заплатила ИТ-специалисту $100 тыс. за найденную уязвимость

В конце мая 2020 года стало известно о том, что индийский специалист по информационной безопасности Бхавук Джайн (Bhavuk Jain) получил от Apple $100 тыс. в качестве вознаграждения за обнаружение серьёзной уязвимости в продукте компании.

Эксперт выявил проблему в системе авторизации «Вход с Apple» (Sign in with Apple), которая предназначена для сохранения конфиденциальности и контроля личных данных. При первом входе в систему программы и веб-сайты могут запросить для настройки учетной записи только имя и адрес электронной почты пользователя.

Функция "Вход с Apple" могла использоваться для взлома аккаунтов

В процессе аутентификации с помощью функции «Вход с Apple» происходит генерация токена JWT, который содержит в себе конфиденциальную информацию, используемую сторонним приложением для подтверждения личности вошедшего в систему пользователя. Эксплуатация найденной Джайном уязвимости позволяла злоумышленнику подделать токен JWT, связанный с идентификатором любого пользователя. В результате злоумышленник мог получить возможность авторизоваться через функцию «Вход с Apple» от имени жертвы в сторонних сервисах и приложениях, поддерживающих данный инструмент.

По словам Джайна, уязвимость содержалась в способе, которым происходила верификация пользователя на стороне приложения-клиента перед тем, как инициировался запрос с серверов авторизации Apple. 

Бхавук Джайн обнаружил уязвимость в апреле 2020 года и сообщил об этом Apple. В компании рассказали эксперту, что провели внутреннее расследование и выяснили, что до того, как уязвимость устранили, ни одного случая взлома учетной записи не было зафиксировано.

Руководитель отдела по защите приложений малого и среднего бизнеса в компании ImmersiveLabs Шон Райт (Sean Wright) в разговоре с Forbes назвал эту уязвимость «существенный» и неприемлемой для компании с «репутацией ориентированной на конфиденциальность». По словам эксперта, Apple нужно тщательнее тестировать свои продукты.[10]

Google увеличила выплаты за обнаружение уязвимостей в Google Cloud Platform

Компания Google увеличила[11] общую сумму вознаграждения за обнаружение уязвимостей в наборе облачных служб Google Cloud Platform (GCP). Теперь исследователи безопасности могут заработать до $313 337 в рамках программы Vulnerability Reward Program[12].

В 2018 году общая сумма выплат составила $100 000 за обнаружение уязвимостей в облачной платформе, но в нынешнем году общая сумма увеличена до $313 337 и будет разделена на шесть мест. Сумма самого большого вознаграждения составит $133 337, второго и третьего места — $73 331, четвертого — $31 337, а за последние два предлагают по $1 000 за каждый.

«
«Как и в прошлом году, исследователям необходимо подать заявки, чтобы иметь право получить вознаграждение. Информация об уязвимостях в одном отчете не ограничена. Специалисты могут подать несколько заявок, по одной на каждое место», — сообщается в блоге Google.
»

По словам Google, компания в 2019 году выплатила исследователям более $6,5 млн в рамках программ вознаграждения за обнаруженные уязвимости, а с момента запуска первой программы в 2010 году — более $21 млн.

«Азбука Вкуса» запустила программу вознаграждений за поиск уязвимостей в своих ИТ-сервисах

12 марта 2020 года «Азбука Вкуса» сообщила TAdviser о запуске программы «bug bounty», в рамках которой планирует выплатить участникам суммарно более 1,5 млн рублей за первый год в качестве вознаграждения за найденные уязвимости на своем сайте и в приложениях. Подробрнее здесь.

Платформа Drupal запустила свою программу bug bounty

У системы управления контентом Drupal появилась собственная программа вознаграждения за найденные уязвимости для обеспечения максимальной безопасности и конфиденциальности сайтов. Каждый пользователь имеет право участвовать в программе при условии соблюдения установленных условий и требований Drupal[13][14].

Программа вознаграждения за найденные уязвимости распространяется только на сайт drupal.org и охватывает следующие уязвимости: межсайтовый скриптинг (XSS), открытое перенаправление, подделка межсайтовых запросов (CSRF) и некорректное управление доступом.

Важным моментом является то, что к рассмотрению будут приниматься только аутентичные уязвимости, а не автоматизированные результаты тестирования на проникновение.

2019

Google заплатила исследователям $6,5 млн за уязвимости

В 2019 году компания Google заплатила[15] исследователям безопасности более $6,5 млн в рамках программы выплаты вознаграждений за обнаруженные уязвимости. По сравнению с 2018 годом сумма вознаграждений, выплаченных в 2019 году, увеличилась почти вдвое. В 2018 году Google заплатила исследователям безопасности $3,4 млн. Программа была запущена в 2010 году, и с тех пор компания выплатила исследователям порядка $15 млн[16].

В 2019 году за одну уязвимость исследователи получали от $100 до $31 337, в зависимости от ее опасности. За связку уязвимостей сумма вознаграждения существенно увеличивалась. Именно так произошло в случае со специалистом компании Alpha Lab Гуаном Гоном, получившим $201 337 за сообщение о ряде уязвимостей в устройствах Pixel 3.

В 2019 году Google утроила максимальную базовую сумму вознаграждения с $5 000 до $15 000 и удвоила максимальную сумму вознаграждения за высококачественные отчеты с $15 000 до $30 000.

Кроме того, компания расширила действие программы вознаграждения за уязвимости в приложениях из Google Play. Начиная с прошлого года, в программе могут участвовать любые приложения с числом загрузок более 100 млн. В рамках данной программы Google заплатила исследователям более $650 000.

Также увеличилась максимальная сумма вознаграждения за уязвимости в Android. Теперь за эксплоит, позволяющий удаленно выполнить произвольный код на атакуемой системе, исследователь может получить $1 млн. За обнаружение такой уязвимости в превью-версии для разработчиков Google готова «накинуть» сверху еще $500 000.

Японские компании не хотят запускать программы bug bounty

Крупные западные компании наподобие Google и Apple предлагают «белым» или «этическим» хакерам миллионы долларов вознаграждения за сообщения об уязвимостях в их продуктах. Однако японские компании, в том числе Toyota Motor, NEC и Fujitsu, предпочитают ограничиваться одним лишь «спасибо», пишет японское издание Nikkei[17].

Toyota Motor готова публично поблагодарить исследователя безопасности, нашедшего уязвимость в ее корпоративном сайте, но обнаружившему уязвимость в ее автомобилях даже на «спасибо» рассчитывать не приходится.

Несмотря на то, что в плане технологий Япония является передовой страной, в плане кибербезопасности она изрядно отстает. Устаревшие системы управления зданиями позволяют киберпреступникам отключать вентиляцию, а доступ к большинству банкоматов в стране можно получить через посторонние компьютеры, сообщают источники Nikkei. Однако, несмотря на это, японские компании не спешат запускать программы поощрения исследователей безопасности (bug bounty). Так, Toyota Motor ограничивается сдержанным «спасибо», а от NEC и Fujitsu даже этого не ждать не приходится.

За последние два года средняя сумма вознаграждения, которую компании выплачивают исследователям безопасности за обнаруженные уязвимости, увеличилась на 70%. К примеру, в ноябре Google заявила о готовности заплатить $1,5 млн за уязвимости в Android, позволяющие удаленно выполнить код. Ранее сумма вознаграждения за такие уязвимости составляла $200 тыс.

VPN-сервис NordVPN запустил программу bug bounty

Провайдер VPN-сервиса NordVPN запустил на платформе HackerOne[18] программу выплаты вознаграждения исследователям безопасности за обнаруженные уязвимости. Сумма вознаграждения составляет от $100 до $5 тыс., однако NordVPN готов заплатить больше за «особо хитроумные и опасные» уязвимости.

Получить вознаграждение исследователи могут за сообщения об уязвимостях в сайтах NordVPN (nordvpn.com и некоторых поддоменах), расширениях Chrome и Firefox, VPN-серверах, а также в десктопных и мобильных приложениях для всех платформ. Компания также проинструктировала исследователей, как сообщать об уязвимостях в WordPress, OpenVPN и StrongSwan соответствующим вендорам непосредственно.

В NordVPN уверили, что исследователям безопасности не угрожают никакие юридические преследования, если их тестирование проводится исключительно с благими намерениями. Однако им запрещается раскрывать уязвимости до выхода исправления и без четкого на то разрешения. До раскрытия уязвимостей должно пройти не менее 90 дней[19].

Mozilla утроила сумму вознаграждения в рамках bug bounty

В честь 15-летия своего браузера Firefox компания Mozilla решила расширить[20] свою программу вознаграждения исследователей безопасности за обнаруженные уязвимости (bug bounty) и увеличить максимальную сумму вознаграждения в три раза. Так, отныне за уязвимости удаленного выполнения кода в Firefox или других менее известных сервисах Mozilla (VPN, локализация, инструменты для управления кодом, распознавание речи и пр.) исследователь может получить $15 тыс. За другие уязвимости компания готова заплатить от $1 тыс. до $6 тыс[21].

Решение утроить сумму вознаграждения поставило Mozilla в один ряд с другими технологическими компаниями, у которых также есть программы bug bounty, правда, в самый конец этого ряда. К примеру,

  • Yahoo! и Snapchat платят исследователям $15 тыс. за любую уязвимость в своих сервисах.
  • $15 тыс. – минимальная сумма вознаграждения, которую предлагает Microsoft, тогда как максимальная составляет $300 тыс.
  • Также для сравнения, максимальная сумма вознаграждения в рамках bug bounty составляет $100 тыс. у Intel,
  • $33 тыс. у Dropbox,
  • $20 тыс. у Twitter и
  • $150 тыс. у Google за уязвимости в ChromeOS.

Свою программу bug bounty также запустила компания Huawei. Она готова платить $220 тыс. за критические уязвимости в своих Android-устройствах (Huawei Mate-серия смартфонов , Huawei P-серия Смартфоны , Huawei Nova Смартфон, Y9 и Honor-серия смартфонов) и $110 тыс. за опасные уязвимости. К слову, за эти же уязвимости Google предлагает меньшие суммы – $200 тыс. и $100 тыс. соответственно.

Самое высокое вознаграждение предлагает компания Apple, в 2019 году увеличившая сумму с $200 тыс. до $1 млн[22].

Хакеры могут зарабывать на продаже уязвимостей столько же, сколько ИБ-эксперты

11 ноября 2019 года стало известно, что хакеры могут зарабывать на продаже уязвимостей столько же, сколько ИБ-эксперты, принимающие участие в программах вознаграждения за найденные уязвимости, или так называемые «серые шляпы», занимающиеся реверс-инжинирингом для правительства. Так считает глава исследовательского отдела компании Tenable Оливер Рочфорд (Oliver Rochford). По его словам, исследование уязвимостей — дорогостоящий процесс, и «белый», «черный» и «серый» рынки используют одинаковые методы при поиске уязвимостей, несмотря на легальную или нелегальную специфику.

Основная разница между преступными и легальными сторонами заключается в наличии этики. Механизм (обнаружение уязвимостей, исследование эксплоитов и разработка) одинаков как для преступников, так и для исследователей, но разница заключается в том, как стороны используют уязвимости. Например, злоумышленники действуют с целью шпионажа, саботажа и мошенничества, в то время как ИБ-специалисты проводят анализ существующих угроз.

По словам Рочфорда, в некоторых случаях возможно заработать намного больше легальным способом (в данной сфере хакеры могут заработать примерно $75 тыс.). По его данным, на подпольных рынках за уязвимость в Apache или Linux можно заработать около $1 млн, тогда как брокеры эксплоитов предлагают примерно $500 тыс. Уязвимости в WhatsApp для Android также могут принести $1 млн на «черном» и «сером» рынках. В рамках программ bug bounty наиболее прибыльными являются уязвимости, затрагивающие Safari в iOS, а в общем на багах в iOS можно заработать примерно $1 млн, на «сером» рынке — $2 млн.

По словам Рочфорда, у злоумышленников в среднем есть 7 дней на эксплуатацию уязвимости прежде, чем ИБ-эксперты начнут ее анализировать, именно поэтому «компаниям необходимо принимать меры по усилению безопасности».

Согласно недавнему отчету Bromium, доход от киберпреступности оценивается в $1,5 трлн, в то время как общий объем рынка кибербезопасности в 2019 году составил $136 млрд[23].

Apple открыла свою программу bug bounty и увеличила награду до $1 млн

Основная статья: Проблемы и безопасность iPhone

Apple открыла для всех желающих свою ранее закрытую программу выплаты вознаграждений за обнаруженные уязвимости (bug bounty). Об этом представители компании сообщили на конференции Black Hat USA 2019, проходившей в августе 2019 года в Лас-Вегасе. Помимо открытия программы, Apple также добавила в нее MacOS, tvOS, watchOS и iCloud и увеличила сумму вознаграждения за некоторые уязвимости до $1 млн.

Компания впервые запустила свою программу bug bounty в 2016 году, и до сих пор в ней можно было участвовать только по приглашению. Для участия принимались уведомления об уязвимостях лишь в ограниченном круге продуктов, а максимальная сумма вознаграждения составляла $200 тыс. Столько компания платила за уязвимости в аппаратном обеспечении, например, в компонентах прошивки, ответственных за безопасную загрузку. Теперь же она готова заплатить $1 млн за сообщения об уязвимостях, с помощью которых злоумышленник может осуществить сетевую атаку без участия пользователя, позволяющую выполнить код на уровне ядра с сохранением персистентности.

Apple также увеличила сумму вознаграждения за другие уязвимости. За сообщения об уязвимостях, позволяющих осуществить сетевую атаку без единого клика со стороны пользователя, с помощью которой злоумышленник может получить доступ к ценным конфиденциальным данным исследователям теперь полагается $500 тыс. Еще 50% от этой суммы сверху получат исследователи, обнаружившие уязвимости до официального релиза ПО.

Первый в мире багхантер-миллионер

В начале марта 2019 года компания HackerOne, развивающая платформу для поиска уязвимостей за деньги, представила Сантьяго Лопеса (Santiago Lopez), 19-летнего хакера-самоучку из Аргентины, который стал первым в мире багхантером-миллионером.

Лопес начал сообщать компаниям о прорехах в их безопасности через HackerOne в 2015 году. С тех пор к марту 2019 года он обнаружил более 1600 уязвимостей и заработал $1 млн. Его возраст никого не смущает: согласно ежегодному отчету компании, 47,7% из более чем 300 000 багхантеров, зарегистрированных на HackerOne, относятся к группе людей в возрасте 18-24 лет. Однако доходы Лопеса необычны: даже самые лучшие багхантеры обнаруживаю в среднем 0,87 ошибок в месяц, что приносит им около $34 255 в год. Это ниже средней зарплаты в Великобритании.

Сантьяго Лопес — первый в мире багхантер, заработавший $1 млн на поиске уязвимостей

Многие молодые исследователи в области безопасности отмечают, что багхантерство является не самым приятным занятием в силу специфики общения с работодателем. Часто компании заявляют, будто уже выявили ошибку своими силами, и ничего не платят багхантеру. Тем не менее, платформа HackerOne процветает, постоянно получая заказы со всего мира. HackerOne, основанная в 2012 году, заявляет, что за прошедший срок выплатила хакерам более $42 млн, при этом выплаты в 2018 году увеличились более чем вдвое по сравнению с 2017 годом (с $9,3 млн до $19 млн). Более половины хакеров регистрируются в пяти странах: в Индии, США, России, Пакистане и Великобритании.

Согласно опросу, содержащемуся в годовом отчете, любимой целью кибератак являются сайты. Более 70% опрошенных хакеров отмечают, что предпочитают взламывать веб-сайты, за ними по популярности следуют API (6,8%), технологии хранения данных (3,7%), приложения Android (3,7%), операционные системы (3,5%) и загружаемое программное обеспечение (2,3%). Тем большую популярность приобретают багхантеры, услугами которых пользуются Министерство обороны США, компании Hyatt, General Motors, Google, Twitter, GitHub, Nintendo, Lufthansa, Panasonic Avionics, Qualcomm, Starbucks, Dropbox, Intel и более 1300 других клиентов.[24]

2018

Хакеры зарабатывают по $500 тыс. в год на поиске уязвимости по заказу крупных компаний

Лучшие хакеры-фрилансеры, которых для поиска уязвимостей нанимают крупные компании и правительственные организации, вроде Tesla Motors и Министерство обороны США, могут зарабатывать в год больше $500 тыс. Об этом 12 декабря 2018 года сообщило агентство CNBC со ссылкой на данные платформы Bugcrowd, объединяющей так называемых этичных или «белых» хакеров, которые практикуют компьютерные взломы для привлечения внимания к проблемам кибербезопасности.

«Белые» хакеры работают по четко сформулированному контракту на определенную компанию и получают выплаты, когда находят в ИТ-инфраструктуре фирмы какую-то брешь. Размер вознаграждения зависит от серьезности выявленной проблемы.

На фоне нехватки специалистов в области информационной безопасности (ИБ) все больше компаний отдают предпочтение альтернативным способам защиты своих ИТ-систем, отмечает глава Bugcrowd Кейси Эллис (Casey Ellis). По некоторым подсчетам, к 2021 году число открытых ИБ-вакансий может достигнуть 3,5 миллиона.

Лучшие хакеры-фрилансеры, которых для поиска уязвимостей нанимают крупные компании и правительственные организации, вроде Tesla и Министерство обороны США, могут зарабатывать в год больше $500 тыс.

В 2017 году крупная технологическая компания выплатила через Bugcrowd самое внушительное за историю платформы вознаграждение за одну выявленную уязвимости - $113 тыс. Данные Bugcrowd говорят о том, что в 2017 году суммы выплат поднялись еще на 37%.

Половина этичных хакеров параллельно с фрилансом где-то работают на постоянной основе. Средний годовой заработок 50 ведущих хакеров составляет около $145 тыс., рассказал Эллис. В ходе опроса, проведенного Bugcrowd, около 80% ИБ-специалистов сообщили, что платформа помогла им найти работу в сфере кибербезопасности.

Подавляющее большинство багхантеров, сотрудничающих с Bugcrowd, - это люди в возрасте от 18 до 44 лет, но есть среди аудитории платформы и несколько «ИБ-вундеркиндов», которые еще учатся в школе. Примерно четверть хакеров, работающих с Bugcrowd, не оканчивали вуз, но, тем не менее, обладают необходимыми навыками для поиска уязвимостей.[25]

Раскрытие исходных кодов ПО SAP, Symantec и McAfee российским властям

25 января 2018 года агентство Reuters сообщило, что SAP, Symantec и McAfee соглашались раскрыть российскому Министерству обороны исходные коды некоторых своих программных продуктов для поиска уязвимостей, которые могли бы использовать хакеры для взлома ИТ-систем.

Поиск слабых мест в программном коде продуктов технологических компаний — обязательное условие закупки ПО государственными и военными подрядчиками из России, отмечет агентство. Оно изучило сотни документов, посвященных закупкам американскими государственными органами и законодательному регулированию в России.

SAP, Symantec и McAfee раскрыли России исходные коды ПО для поиска уязвимостей

По мнению экспертов в области кибербезопасности и американских законодателей, такая практика ставит под угрозу защиту компьютерных сетей не менее 10 ведомств США, поскольку программное обеспечение, которое ИТ-компании показывают российским властям, используется для защиты от хакеров критически важных систем Пентагона, NASA, Министерства иностранных дел, ФБР и разведки.

Теоретически найденные в софте уязвимости Москва может использовать в своих интересах, отмечает издание. Вместе с тем Reuters пока не удалось найти ни одного примера, когда было бы установлено, что подобная практика привела к кибератакам.

Представители компаний SAP, Symantec, McAfee и Micro Focus говорят, что изучение продуктов проходит под контролем разработчиков на защищенном оборудовании, где нет возможности изменить или удалить части кода, поэтому о нарушении безопасности речь идти не может.

В SAP пояснили, что просмотр исходных кодов осуществляется в абсолютно безопасном и контролируемом компанией помещении, где «строго запрещены» любые записывающие устройства и даже карандаши.

Однако на фоне растущего беспокойства со стороны американских властей Symantec и McAfee перестали разрешать такие проверки своего ПО, а Micro Focus значительно сократила их число в конце 2017 года.

«
Даже позволяя людям просто посмотреть исходный код в течение минуты, возникает очень большая опасность, — говорит исполнительный вице-президент по технологиям защиты сетей Trend Micro Стив Квейн (Steve Quane).
»

По его словам, из-за этих рисков, которым подвергается американское правительство, Trend Micro отказала России в доступе к исходникам системы TippingPoint.

Квейн отметил, что ведущих ИБ-эксперты могут быстро обнаружить уязвимости в ПО, просто изучив код. Такие специалисты есть и в Trend Micro, добавил он.

По мнению конгрессмена от Республиканской партии Ламара Смита (Lamar Smith), явно нужны законы, которые бы обеспечили более высокий уровень кибербезопасности федеральных ведомств и связанных с ними организаций.

Представитель Symantec заверила Reuters, что выпущенная в конце 2016 года версия межсетевого экрана Symantec Endpoint Protection никогда не проходила проверку исходных кодов, а предыдущие версии получили множество обновлений с момента детального изучения продукта российскими властями. Symantec продавала прежнюю версию Endpoint Protection до 2017 года и намерена выпускать обновления для этого ПО до 2019 года.

В McAfee подтвердили полученные Reuters данные о том, что в 2015 году компания предоставила доступ к коду системы управления информацией о безопасности и событиями о безопасности (Security Information and Event Management) НПО «Эшелон», которое проводила проверку от имени ФСТЭК. Несмотря на это Министерство финансов США и Служба безопасности министерства обороны продолжают пользоваться этим продуктом для защиты своих сетей, сообщает Reuters со ссылкой на контракты, которые есть в распоряжении агентства.

В McAfee отказались давать дополнительные комментарии по запросу Reuters. Ранее в компании говорили, что проверка исходных кодов по требованию России проводились в помещениях на территории США.[26]

Одним из продуктов, который исследовал «Эшелон» на предмет уязвимостей, было решение ArcSight ESM, которое с момента продажи софтверного бизнеса HPE развивает британская компания Micro Focus. Это программное обеспечение использует Пентагон, а также не менее семи американских ведомств, включая Аппарат директора национальной разведки и разведывательное подразделение Госдепартамента.

В HPE заявили, что ни один из текущих продуктов компании не подвергался анализу исходного кода российскими властями. Правда, после сделки с Micro Focus американская компания избавилась от большего числа софтверных активов.

Президент группы компаний НПО «Эшелон» Алексей Марков рассказал Reuters, что американские компании, чьи продукты исследовались на уязвимости, изначально выражали озабоченность процессом сертификации.

«
Чем меньше человек, принимающий решение, понимает в программировании, тем больше у них паранойя. Однако в процессе уточнения деталей при выполнении сертификации опасности и риски размываются, — сказал Марков.
»

По его словам, «Эшелон» всегда уведомляет ИТ-компании перед передачей данных о любых обнаруженных уязвимостей российским властям, давая возможность производителям устранить недостатки. Изучение исходного кода продуктов «существенного улучшает их безопасность», отметил он.

Бывший заместитель директора Агентства национальной безопасности США Крис Инглис (Chris Inglis) возражает: «Когда вы сидите за столом с карточными шулерами, вы не можете никому доверять. Я бы никому не показывал код».

Россия в тройке стран по числу багхантеров

Багхантеры (от англ. bug - ошибка; hunter - охотник) зарабатывают в разы больше программистов, свидетельствуют данные опроса HackerOne — платформы, организующей проекты Bug Bounty, в рамках которых за найденные ИБ-уязвимости хакерам выплачиваются денежные поощрения. При этом Россия входит в тройку стран по количеству таких специалистов.

Согласно результатам исследования, опубликованным в январе 2018 года, размер премий, которые в среднем получают около 1700 хакеров из разных стран, зарегистрированных на HackerOne, в 2,7 раза больше среднего заработка инженеров-программистов, сообщает Bleeping Computer.

Россия вошла в тройку стран по числу хакеров, ищущих уязвимости за деньги

Опрос показал, что наибольшую выгоду от участия в Bug Bounty-программах извлекают ловцы уязвимостей из развивающихся стран. Например, в Индии заработок лучших багхантеров может быть в 16 раз выше медианной зарплаты штатных программистов компаний.

Также поиск ИБ-уязвимстей за деньги способен обеспечить безбедное существование в Аргентине, Египте, Гонконге, Филиппинах и Латвии. В этих странах борцы с багами в среднем получают от 8,1 до 5,2 раза больше, чем обычные разработчики софта.

Впрочем, «охота на уязвимости» — дело прибыльное и для выходцев из развитых стран, хотя разница с зарплатами программистов здесь не столь впечатляющая. Например в США и Канаде опытные багхантеры смогут получить в 2,4 и 2,5 раза больше, а в Германии и Израиле превосходство на средним заработком программистов составляет 1,8 и 1,6 раза.

В отчете HackerOne сообщается и о некоторых других интересных фактах. В частности, исследование показало, что Россия входит в тройку лидеров по числу хакеров, участвующих в проектах Bug Bounty, уступая только Индии и США. На долю первых двух стран приходится 23% и 20% участников HackerOne, а вклад РФ составляет 6%. Также в топ-5 оказались Пакистан и Великобритания с показателем в 4% от общего числа багхантеров у каждой.[27]

Примечания

  1. Силовики выступили против легализации «белых» хакеров
  2. Взлом на благо государства
  3. Минцифры заявило, что "белых" хакеров в России оказалось мало
  4. Законопроект о белых хакерах вызвал вопросы у силовиков
  5. Минцифры будет проверять защищенность «Госуслуг» сразу на двух площадках
  6. Минцифры планирует легализовать белых хакеров
  7. Mail.ru Group выплатила очередную премию исследователю в размере 40 000 долларов
  8. Повзломались и согласились. Специалисты по кибербезопасности поработали на хакеров
  9. Microsoft goes big in security bug bounties: Its $13.7m is double Google's 2019 payouts
  10. Apple Pays Hacker $100,000 For ‘Sign In With Apple’ Security Shocker
  11. Announcing our first GCP VRP Prize winner and updates to 2020 program
  12. Google увеличила выплаты за обнаружение уязвимостей в Google Cloud Platform
  13. Drupal Bug Bounty Program
  14. Платформа Drupal запустила свою программу bug bounty
  15. Vulnerability Reward Program: 2019 Year in Review
  16. Google заплатила исследователям $6,5 млн за уязвимости
  17. Японские компании не хотят запускать программы bug bounty
  18. NordVPN The world’s most advanced VPN
  19. VPN-сервис NordVPN запустил программу bug bounty
  20. Updates to the Mozilla Web Security Bounty Program
  21. Mozilla утроила сумму вознаграждения в рамках bug bounty
  22. Apple открыла свою программу bug bounty и увеличила награду до $1 млн
  23. Хакеры могут зарабывать на продаже уязвимостей столько же, сколько ИБ-эксперты на программах bug bounty
  24. Meet the World’s First $1 Million Bug Bounty Hunter
  25. Some freelance hackers can get paid $500,000 a year to test defenses of companies like Tesla
  26. Tech firms let Russia probe software widely used by U.S. government
  27. Top Bug Hunters Make 2.7 Times More Money Than an Average Software Engineer