Навіщо потрібні баг-баунті програми та як стати білим хакером

Усім Привіт! Мене звати Андрій і я працюю Head of Marketing у компанії HackenProof. Сьогодні я хочу розповісти про важливу тему в часи повномасштабного вторгнення — безпеку в інтернеті, а саме про існування баг-баунті (bug bounty) платформ.

В цій статті ви дізнаєтесь, що таке bug bounty платформа, як вона допомагає захищати приватні та державні компанії і як можна за бажання на цьому заробити.

Що таке баг-баунті і як це працює

Чи можливо виявити усі вразливості продукту до моменту його запуску? Ні, адже реальне середовище з усіма можливими безпековими ризиками значно відрізняється від тестового формату. Лише в реальних умовах можливо перевірити функціонал та безпеку продукту для користувачів, враховуючи усі обставини, зокрема непередбачувані.

Баг-баунті — це спеціальна програма, яка передбачає залучення білих (етичних) хакерів до пошуку вразливостей та дефектів продукту після його офіційного запуску.

Замовниками баг-баунті програм може бути приватний бізнес, державний сектор, неурядові організації, установи фінансового сектору тощо. Білі хакери займаються пошуком вразливостей у продукті та отримують фінансову винагороду в обмін на цінну інформацію про його вразливості.

Замовник баг-баунті визначає масштаб програми, критерії залучення білих хакерів, обсяг винагород та структуру їх виплати, термін дії програми та перелік пріоритетних вразливостей.

Які існують види баг-баунті

За рівнем організації:

• Організовані самою компанією без залучення третіх сторін. Компанія несе повну відповідальність за проведення програми та самостійно визначає усі умови програми. Наприклад, компанія Microsoft регулярно запускає баг-баунті програми на своїй власній платформі для перевірки безпеки найпопулярніших продуктів. З цією метою компанії створюють окремі відділи, які займаються виключно організацією та проведенням баг-баунті програм.
• Організовані на незалежній платформі. Більшість компаній не мають достатньої експертизи, щоб самостійно організувати та запустити баг-баунті програму, а тому звертаються за послугами професійних платформ таких як HackerOne, BugCrowd, HackenProof та інших.

За рівнем доступу для етичних хакерів:

• Публічні. У таких програмах може брати участь необмежена кількість учасників. Єдиною умовою участі для білих хакерів є реєстрація на платформі.
• Приватні. Для участі у закритих баг-баунті програмах необхідно отримати спеціальне запрошення від організатора. Критерії для участі у такому виді програм встановлюються як замовником програми, так і платформою, яка її проводить.

В чому полягає конкурентна перевага баг-баунті для компаній

Популярність баг-баунті програм для бізнесу та державних установ пояснюється рядом конкурентних переваг:

• Економія ресурсів. Баг-баунті програми на потребують додаткового працевлаштування співробітників, а етичні хакери отримують фінансову винагороду лише за конкретні результати своєї роботи.
• Гнучкість. Замовник може змінювати умови програми залежно від поставлених цілей. Також замовник сам визначає, які компоненти продукту потребують незалежного тестування. Таким чином, компанії не потрібно замовляти тестування усього продукту, а достатньо обмежитись лише тими його компонентами, які потребують особливої уваги.
• Довіра ринку. Організовуючи баг-баунті, компанія демонструє ринку свою готовність до подальшого вдосконалення продукту, незважаючи на можливі додаткові фінансові витрати. У цьому випадку продукти, які пройшли баг-баунті, організовані на відомих незалежних платформах, отримують високий рівень довіри ринку.
• Залучення талановитих спеціалістів. Під час проведення бау баунті програми компанія може виявити кваліфікованих спеціалістів, зацікавлених у подальшій роботі над покращенням безпеки продукту. У цьому випадку, баг-баунті слугує ще одним каналом залучення талановитих спеціалістів до компанії, не створюючи при цьому значних додаткових витрат для HR-відділу компанії.

Як баг-баунті рятує замовників від мегахаків

У 2022 році криптокомпанія Aurora виплатила етичному хакеру $6 млн винагороди за виявлення критичної вразливості, використавши яку кіберзлочинці могли завдати проєкту шкоди на $330 млн.

Білий хакер Pwning.eth виявив вразливість у продукті, за допомогою якого розробники створюють та запускають застосунки одночасно на двох платформах — Near та Ethereum.

Суть виявленого багу полягала у тому, що зловмисники могли займатись мінтом криптовалют у геометричній прогресії. В результаті, приблизні збитки, яких вдалось уникнути проєкту Aurora, становлять 70,000 ETH та понад $200 млн в інших віртуальних активах.

Ця історія підтверджує ефективність баг-баунті програм для замовників, адже вартість збережених активів в десятки разів перевищує обсяг винагороди, яку отримує білий хакер.

Популярність баг-баунті у державному секторі

Урядові інституції та державні компанії є одними з найбільших клієнтів баг-баунті платформ.

Наприклад, у 2016 році Пентагон запустив першу баг-баунті програму під назвою «Hack the Pentagon». У 2022 році, лише за 7 днів функціонування нової баг-баунті програми, Pentagon отримав 648 звітів про вразливості своїх систем, в результаті чого було виявлено та усунуто близько 350 вразливостей, а заробіток білих хакерів склав близько $100 000.

Яка ситуація в Україні

В останні роки цікавість до баг-баунті програм стала проявляти й Україна. Однією з основних передумов для цього стали зростаючі цифрові ризики, пов’язані з підривною діяльністю росії та злочинних хакерських груп, які нею фінансуються, у цифровому просторі, зокрема, регулярні кібератаки, націлені на критичну інфраструктуру України та системно важливі підприємства.

У 2019 році електронна система публічних закупівель Prozorro у співпраці із платформою HackenProof організувала марафон з пошуку багів, які потенційно могли б робити її вразливою до кібератак.

Таким чином Prozorro стало першим українським підприємством, яке самостійно ініціювали співпрацю із білими хакерами, а Україна, на той час, лише дев’ятою країною у світі, яка публічно організувала баг-баунті програму у державному секторі.

Марафон з пошуку вразливостей у Prozorro тривав понад 7 годин в тестовому середовищі у закритому форматі. Участь у даному марафоні взяли 12 білих хакерів, які підготували 16 унікальних звітів про вразливості у Prozorro, які, однак, не загрожували безпеці системи.

У 2020 році Міністерство цифрової трансформації України у співпраці з баг-баунті платформою BugCrowd та Агентством з міжнародного розвитку США (USAID) організувало перевірку безпечності застосунку «ДІЯ» в рамках баг-баунті програми. Під час тестування було підверджено високий рівень захищеності продукту.

Законодавча база функціонування баг-баунті програм в Україні

Тривалий час сфера етичного хакінгу в Україні функціонувала у стані законодавчого вакууму.

Лише у березні 2022 року Верховна Рада України підтримала внесення змін до Кримінального Кодексу України, за якими втручання в роботу інформаційних, електронних комунікаційних, інформаційно-комунікаційних систем, електронних комунікаційних не вважається несанкціонованим за умови, що це втручання відбувається в межах програми баг-баунті.

16 травня 2023 року Кабінет Міністрів України дозволив етичним хакерам легально перевіряти системи на наявність вразливостей, давши таким чином можливість компаніям посилити свій рівень захисту перед реальними цифровими викликами в рамках законодавчого поля.

Як працюють баг-баунті платформи

В цілому, всі платформи працють за приблизно однаковими принципами. Клієнтами можуть бути як великі державні та приватні компанії та установи, так і невеликі проєкти, зацікавлені у виявленні вразливостей у своїх системах. В переважній більшості, вони підходять як для професійних білих хакерів, так і для тих, хто лише відкриває для себе світ етичного хакінгу.

Платформа, на якій організовуються баг-баунті програми, розміщує детальний опис кожної програми із зазначенням переліку вразливостей для пріоритетного пошуку. Чим вищий рівень загрози від вразливості, тим більшу винагороду отримає білий хакер.

Виявивши вразливість у продукті, користувач надсилає (завантажує) доповідь, яка, своєю чергою, опрацьовується командою платформи. У доповіді користувач описує виявлену вразливість та зазначає варіанти її виправлення.

Команда аналізує доповідь на предмет повторення вразливості, а також важливості, адже доповіді можуть і не містити цінної інформації та охоплювати, скажімо, суто «косметичні» правки.

Якщо інформація в доповіді є актуальною та використовується замовником для усунення вразливості, тоді користувач отримує зазначену винагороду.

Як стати учасником баг-баунті програми та скільки можна в них заробити

Участь у баг-баунті програмах може взяти кожен охочий (якщо програма є публічною) за умови попередньої реєстрації.

Не існує обмежень щодо кількості платформ, на яких можна реєструватись для участі в баг-баунті програмах. Білий хакер також може одночасно працювати над виявленням вразливостей у декількох програмах, доступних на платформі.

Наприклад, станом на середину 2023 року на платформі HackenProof доступні 110 активних баг-баунті програм, а розмір максимальної винагороди за виявлені критичні вразливості становить $1 млн.

В інтернеті доволі часто можна побачити новини про те, як черговий білий хакер отримує сотні тисяч доларів США винагороди за виявлену вразливість. Найбільшою винагородою для білого хакера, про яку можна знайти згадки в Google, є $10 млн.

Проте пересічний хакер, як правило, може розраховувати на щось між декількома десятками до декількох тисяч доларів США, залежно від рівня загрози, пов’язаної з виявленою вразливістю. Форма оплати визначається платформою, на якій зареєстрований користувач.

Навички, які допоможуть стати успішним білим хакером

Попри легку реєстрацію в баг-баунті програмах, для успішного пошуку вразливостей користувач повинен володіти певними професійними навичками. Для навчання основам етичного хакінгу не обов’язково йтиь на платні курси та майстер-класи, натомість можна покластись на ефективні безкоштовні матеріали.

Нижче наведу перелік безкоштовних ресурсів, за допомогою яких можна освоїти ключові принципи етичного хакінгу:

• Візьміть участь у грі «захоплення прапора» (capture the flag). Одним з найпростіших ресурсів для пошуку вразливостей у тестовому середовищі є BanditCTF. На цьому ресурсі можна ознайомитись з основами пошуку вразливостей у продуктах та їх усуненням. BanditCTF дозволяє вдосконалити свої навички використання командної строки, стимулює критичне мислення та знайомить з базовими поняттями безпеки у системі Linux.
• Вивчіть основи безпеки вебзастосунків. Для цього використовуйте ресурс OWASP Top Ten, у якому описується 10 найпоширеніших вразливостей вебресурсів. Для засвоєння інформації користувачі можуть взяти участь у іншому змаганні «захоплення прапора» PicoCTF. На цій платформі відбуваються змагання серед початківців, а завдання охоплюють криптографію, використання вебвразливостей, зворотній інжиніринг тощо. На цьому етапі рекомендовано зосередитись на дослідженні мережевих та вебпротоколів;
• Почніть користуватись популярними програмками для перевірки безпеки. Одним із найзручніших інструментів є Burp Site, ознайомитись можна на Web Security Academy. Тут розміщено чимало навчальних матеріалів про найпоширеніші види вразливостей та методи їх використання. Опанувавши усі ці матеріали, можна запросто подаватись на посаду Junior Web Application Penetration Tester.
• Здобувайте практичні навички з пошуку вразливостей. Найоптимальнішими безкоштовним платформами для вдосконалення навичків хакінгу є HackTheBox та TryHackMe.
• Вивчайте досвід інших. Білі хакери часто публікують звіти про свої досягнення на відкритих платформах або незалежних медіа. Окрім цього, компанії, які проводять аудит безпеки для своїх клієнтів, можуть розміщувати звіти про свою роботу на власних сайтах. Наприклад, компанія Hacken регулярно публікує звіти про аудит смарт-контрактів своїх клієнтів.
• Беріть участь у баг-баунті програмах. Навіть якщо баг-баунті програма здається надто важкою, не полінуйтесь взяти в ній участь заради практики.

Загалом, в Україні існує значний потенціал для розвитку етичного хакінгу. Саме схиливши білих хакерів на свою сторону, український бізнес може підвищити свій рівень стійкості, що особливо актуально зараз, у час підвищених безпекових ризиків, пов’язаних з війною.