- PVSM.RU - https://www.pvsm.ru -

Как зарабатывать на чужих ошибках: История Bug Bounty

Создатель Ruby on Rails Давид Хейнемейер Ханссон (David Heinemeier Hansson) однажды написал статью под заголовком «В программах встречаются баги. Это нормально [1]». За всю историю работы человека с ПО (и не только с ним) баги были неизбежным и порой дорогостоящим [2] спутником новых и интересных решений.

В прошлом году только сбои программного обеспечения, зафиксированные в отчете Software Fail Watch, обошлись [3] компаниям по всему миру в $1,7 трлн. Такие потери побуждают бизнес наращивать расходы [4] на тестирование ПО. Компании нанимают штатных тестировщиков и все больше денег вкладывают [5] в автоматизированные системы.

Есть и еще одно направление, на которое компании также не жалеют денег [6], — программы Bug Bounty. Крупные технологические корпорации — Apple, Facebook, Google — и даже правительственные организации [7] выплачивают вознаграждения «белым хакерам [8]» за поиск уязвимостей в ПО. Разберемся в истории этого явления.

Как зарабатывать на чужих ошибках: История Bug Bounty - 1 [9]
/ Wikimedia / Alexandre Dulaunoy [10] / CC [11]

Краткая история Bug Bounty

Идея поиска уязвимостей в системах безопасности появилась задолго до написания первых программ. В XIX веке английская компания, разрабатывающая дверные замки, предлагала [12] 200 золотых гиней (около $20 тыс. по нынешнему курсу) за взлом одного из своих товаров. Тогда американский изобретатель Альфред Чарльз Хоббс (Alfred Charles Hobbs) принял вызов и справился [13] с задачей за 25 минут, получив награду.

Прошло более 100 лет, и вопросы безопасности, которые решают компании, переместились в цифровое пространство. Программные уязвимости, которыми могут воспользоваться недоброжелатели, стали для бизнеса не меньшей проблемой, чем ненадежные дверные замки.

Предположительно, первой программой поощрения за поиск уязвимостей в ИТ стало объявление [14] от Hunter & Ready, датируемое 1983 годом. Компания разрабатывала операционную систему реального времени VRTX [15] и предлагала в качестве награды за найденный в ней баг Volkswagen Beetle («Жук»). Однако победитель мог забрать свой приз и деньгами — давали тысячу долларов.

Как зарабатывать на чужих ошибках: История Bug Bounty - 2
/ Flickr / Greg Gjerdingen [16] / CC [17]

К середине 90-х в мире уже произошло [18] несколько крупных хакерских атак и начала формироваться [19] современная индустрия ИТ-безопасности. Тогда же набирали популярность первые веб-браузеры — в этой нише шло противостояние [20] между продуктами Netscape и Microsoft. 1995-й был особенно успешным для первой — компания, пользуясь своим лидирующим положением на рынке, удачно провела IPO [21]. В том же году инженер технической поддержки Netscape Джарретт Ридлинхафер (Jarrett Ridlinghafer), обнаружил, что многие пользователи-энтузиасты самостоятельно искали баги в браузере и выкладывали для них фиксы в сеть. Поэтому Джарретт предложил [22] руководству поощрить подобную деятельность и начать выплачивать денежные вознаграждения.

И 10 октября 1995 года Netscape запустили [23] первую программу Bug Bounty. Они платили пользователям бета-версии браузера Netscape Navigator 2.0 [24], которые находили в нем уязвимости и сообщали об этом компании. По некоторым данным [25], Ридлинхаферу выделили первоначальный бюджет в $50 тыс. Наградами для участников программы служили [26] не только деньги, но и товары из магазина Netscape.

Первым последователем Netscape в привлечении пользователей к поиску багов стала компания iDefense, занимающаяся вопросами безопасности. В 2002 году она запустила [27] свою программу Bug Bounty. Сумма вознаграждения варьировалась в зависимости от типа уязвимости, объема предоставленной информации о ней и согласия пользователя не разглашать сведения о баге в будущем. Заработать на одном баге таким образом можно было до $500.

В 2004 году сообщество Mozilla, которое сформировали [28] выходцы из Netscape, тоже запустило программу Bug Bounty для браузера Firefox. Ее профинансировали известный предприниматель Марк Шаттлворт (Mark Shuttleworth) и компания-разработчик ПО Linspire. За найденные критические уязвимости участники могли получить до $500. И эта программа действует [29] до сих пор, однако максимальное вознаграждение за годы выросло в 10 раз [30]. За 14 лет ее участникам было выплачено около $3 млн.

В один год с Mozilla на рынке ИТ-безопасности появилась программа Zero Day Initiative [31] (ZDI), которая работает до сих пор. Её создатели выступили посредником между сообществом «белых хакеров» и компаниями, которым нужно найти баги в своем ПО. Три года спустя ZDI профинансировали конкурс PWN2OWN [32]. Тогда хакерам нужно было попытаться взломать [33] два ноутбука MacBook Pro, так как система OS X считалась более безопасной, чем продукты конкурентов. В ZDI согласились приобрести все обнаруженные уязвимости в Mac OS X по единой цене — $10 тыс.

Кстати, компания Apple на тот момент не имела своей программы по поиску багов. Она отказывалась идти на это [34] почти 10 лет. Apple запустила Bug Bounty только в 2016 году и стала одной из последних крупных технологических корпораций, предложивших вознаграждение за поиск багов. Зато сумма поощрения оказалась одной из самых высоких на рынке — она доходит до $200 тыс.

Bug Bounty сегодня

Другие крупные технологические компании стали запускать свои инициативы поощрения «белых хакеров» в начале 2010-х. С 2010-го по 2017-й Google «раздала [35]» участникам Bug Bounty $3 млн — большая часть средств была выплачена за эксплойты в Chrome и Android. Facebook в период с 2011 по 2016 год выплатила [36] $5 млн. Аналогичные инициативы имеют Microsoft, GitHub, Uber, Sony и другие. Этот список продолжает пополняться, например, в этом месяце компания Valve анонсировала [37], что тоже будет платить за найденные уязвимости.

«Белые хакеры» сегодня, по данным платформы для поиска багов HackerOne, зарабатывают [38] почти вдвое больше своих коллег-разработчиков ПО. Хотя для многих охотников за уязвимостями эта деятельность — хобби, 12% из них получают $20 тыс. в год, а 3% — больше $100 тыс. На их выбор представлены [39] программы от самых разных организаций: от уже перечисленных Microsoft и Apple до MIT и Пентагона. В основном компании расплачиваются деньгами, но некоторые — бартером, например, United Airlines [40] награждает ИБ-исследователей милями.

Поиск уязвимостей перестал быть «чисто программным». После найденных уязвимостей в Tesla Model S в 2015 году компания Илона Маска увеличила вознаграждение [41] за аппаратные баги. Microsoft на тот же шаг толкнула [42] недавняя ситуация с процессорными уязвимостями [43] Meltdown и Spectre. Корпорация готова платить большие, по меркам этой индустрии, деньги за найденные баги — $250 тыс. Intel также ищет помощи [44] у охотников за багами.

При этом распространенность и доступность хакерских программ сформировала отдельное направление — Bug Bounty как услуга. Компании могут обратиться на специализированные платформы [45] вроде уже упомянутой HackerOne, а также Bugcrowd, Synack и Cobalt. Эти платформы объединяют хакеров и направляют их усилия на санкционированную атаку чьего-то сайта, приложения, сервиса в обмен на вознаграждение. Только HackerOne за 5 лет существования смогла обеспечить [46] своих участников $20 млн.

Проблемы и победы Bug Bounty

Опыт рынка безопасности говорит, что Bug Bounty помогают компаниям экономить время и средства при поиске уязвимостей. В прошлом году команда корпоративного мессенджера Slack подвела итоги [47] своей трехлетней работы с хакерами. Она рассказала, что за это время было выплачено $210 тыс. тем участникам, которые помогли сделать Slack более безопасным.

При этом показательным был один момент — за месяц до публикации отчёта компании один из ИБ-исследователей выложил в сеть информацию [48] о найденном им баге в мессенджере. Специалисты отреагировали на сообщение об уязвимости через 33 минуты, а уже через 5 часов избавились от бага. Участник программы получил за свою находку $3 тыс.

Другой пример — Министерство обороны США. HackerOne устраивает для него тесты на уязвимость [49], во время которых обнаруживаются сотни багов. По словам [50] бывшего министра обороны Эштона Картера (Ash Carter), такая работа обошлась бы более чем в $1 млн, если бы Министерство полагалось на свои силы. За найденные баги в итоге заплатили $300 тыс.

Однако на сегодняшний день обстановка с программами Bug Bounty не такая радужная [51], как может показаться на первый взгляд. В индустрии случаются конфликты, связанные с правовыми вопросами «белого хакинга». В 2015 году эксперт по безопасности компании Synack Уэсли Вайнберг (Wesley Weinberg) обнаружил [52] уязвимость, с помощью которой он получил доступ к огромному количеству данных Instagram: исходным кодам, SSL-сертификатам и приватным ключам, изображениям, загруженным пользователями, и др. Пользуясь этой уязвимостью, можно было выдавать себя за любого пользователя или сотрудника сервиса.

Уэсли сообщил о своей находке в Facebook, владеющей Instagram, рассчитывая на вознаграждение. Но представители компании сказали, что Вайнберг вышел за рамки, то есть получил доступ к личным данным сотрудников компании и пользователей сервиса. А это нарушает правила Bug Bounty компании.

За свою находку Вайнберг был исключен из программы, а его босс — Джей Каплан (Jay Kaplan), CEO Synack, — получил звонок от Алекса Стэймоса (Alex Stamos), сотрудника по вопросам информационной безопасности FB, который пригрозил [53] обращением в полицию, если сведения об уязвимости будут опубликованы.

Этот инцидент поднимает вопросы баланса, этичности и контроля за работой «белых хакеров». С одной стороны компании хотят решить свои проблемы с безопасностью, но с другой им важно уберечь конфиденциальные сведения пользователей и сотрудников, не давая ИТ-исследователям «заходить слишком далеко». Сейчас в США утверждают [54] законопроект, который позволяет Министерству национальной безопасности США запустить свою программу Bug Bounty. Возможно, он установит общие юридические рамки для всего рынка.

Будущее Bug Bounty

В 2017 году у 94% крупнейших публичных компаний из Forbes 2000 не было [55] каналов для получения отчетов об уязвимостях. Однако те компании, которые все же имеют программы Bug Bounty, регулярно увеличивают [56] выплаты участникам. При этом отдельные платформы привлекают средства от инвесторов [57]. Это может говорить о том, что рынок расширяется, и у него есть потенциал для роста.

Как зарабатывать на чужих ошибках: История Bug Bounty - 3
/ Flickr / Gordon [58] / CC [59]

Есть предпосылки и к автоматизации работы исследователей. Gartner прогнозирует [60], что к 2020 году 10% тестов на проникновение будут проводиться с помощью алгоритмов машинного обучения (по сравнению с 0% в 2016). Эту тенденцию подтверждают инвестиции в сферу автоматизированных bug hunting-систем. В прошлом году в Microsoft представили платформу [61], которая с помощью искусственного интеллекта выявляет уязвимости и сообщает о них разработчикам. У Ubisoft есть похожее решение [62] для поиска багов в играх.

Это согласуется с тем, что все больше компаний внедряют [63] решения на основе ИИ в корпоративные системы безопасности. Такой подход позволяет сочетать преимущества программ Bug Bounty с конфиденциальностью — чем меньше на процесс влияет человеческий фактор, тем ниже вероятность утечки информации. Поэтому в будущем, возможно, произойдет перераспределение финансирования между живыми и виртуальными «охотниками за багами».

Несколько материалов из нашего корпоративного блога:

Автор: 1cloud

Источник [67]

Сайт-источник PVSM.RU: https://www.pvsm.ru

Путь до страницы источника: https://www.pvsm.ru/informatsionnaya-bezopasnost/281108

Ссылки в тексте:

[1] В программах встречаются баги. Это нормально: https://m.signalvnoise.com/software-has-bugs-this-is-normal-f64761a262ca

[2] дорогостоящим: https://raygun.com/blog/10-costly-software-errors-history/

[3] обошлись: https://www.tricentis.com/software-fail-watch/

[4] наращивать расходы: https://www.computerweekly.com/news/4500253336/Application-testing-costs-set-to-rise-to-40-of-IT-budget

[5] все больше денег вкладывают: https://sdtimes.com/test/report-automated-testing-critical-agile-devops/

[6] не жалеют денег: https://www.cnet.com/news/bug-bounty-hunters-can-make-big-bucks-with-the-right-hack/

[7] правительственные организации: https://www.nextgov.com/cybersecurity/2018/05/house-committee-forwards-state-department-bug-bounty-bill/148076/

[8] белым хакерам: https://habr.com/post/346944/

[9] Image: https://habr.com/company/1cloud/blog/359364/

[10] Alexandre Dulaunoy: https://commons.wikimedia.org/wiki/File:Everybody_needs_a_hacker_(8442476626).jpg

[11] CC: https://commons.wikimedia.org/wiki/Special:MyLanguage/Commons:Reusing_content_outside_Wikimedia

[12] предлагала: https://www.itspmagazine.com/itsp-chronicles/history-and-interesting-facts-about-bug-bounties-an-appsec-usa-2017-panel-recap

[13] справился: http://www.slate.com/articles/life/crime/features/2013/the_lock_pickers/alfred_c_hobbs_the_american_who_shocked_victorian_england_by_picking_the.html

[14] объявление: https://twitter.com/senorarroz/status/783093421204393985

[15] VRTX: https://en.wikipedia.org/wiki/Versatile_Real-Time_Executive

[16] Greg Gjerdingen: https://www.flickr.com/photos/greggjerdingen/37462087741

[17] CC: https://creativecommons.org/licenses/by/2.0/

[18] произошло: https://www.vpnmentor.com/blog/20-biggest-hacking-attacks-time/

[19] начала формироваться: https://www.cognoscape.com/brief-history-of-information-technology-security/

[20] шло противостояние: https://en.wikipedia.org/wiki/History_of_the_web_browser

[21] провела IPO: https://en.wikipedia.org/wiki/Netscape

[22] предложил: https://medium.com/threat-intel/bug-bounty-programs-a-quick-guide-9b349dbf4c99

[23] запустили: http://web.archive.org/web/19970501041756/www101.netscape.com/newsref/pr/newsrelease48.html

[24] Netscape Navigator 2.0: https://en.wikipedia.org/wiki/Netscape_Navigator_2

[25] По некоторым данным: https://www.newsmax.com/sambocetta/bug-bounty-program-solution-technology/2018/04/02/id/852102/

[26] служили: https://umbrella.cisco.com/blog/2015/07/09/for-fun-and-profit-the-right-way-to-run-a-bug-bounty-program/

[27] запустила: http://web.archive.org/web/20020812035333/www.idefense.com/contributor.html

[28] сформировали: https://en.wikipedia.org/wiki/Mozilla

[29] действует: https://www.mozilla.org/en-US/security/bug-bounty/

[30] выросло в 10 раз: https://blog.mozilla.org/security/2017/05/11/relaunching-web-bug-bounty-program/

[31] Zero Day Initiative: https://www.zerodayinitiative.com/about/

[32] PWN2OWN: http://seclists.org/dailydave/2007/q1/289

[33] взломать: https://en.wikipedia.org/wiki/Pwn2Own

[34] отказывалась идти на это: https://techcrunch.com/2016/08/04/apple-announces-long-awaited-bug-bounty-program/

[35] раздала: https://techcrunch.com/2017/01/31/googles-bug-bounty-2016/

[36] выплатила: https://www.facebook.com/notes/facebook-bug-bounty/facebook-bug-bounty-5-million-paid-in-5-years/1419385021409053/

[37] анонсировала: https://www.gamasutra.com/view/news/317954/Valve_debuts_public_bug_bounty_board_in_an_effort_to_improve_security.php

[38] зарабатывают: https://www.infosecurity-magazine.com/news/bughunting-hackers-earn-top-dollar/

[39] представлены: https://www.pcmag.com/feature/347350/8-unusual-bug-bounty-programs-offering-big-bucks

[40] United Airlines: https://www.pcmag.com/feature/354224/7-huge-bug-bounty-payouts/4

[41] увеличила вознаграждение: https://www.securityweek.com/tesla-increases-bug-bounty-payout-after-experts-hack-model-s

[42] толкнула: https://www.theverge.com/2018/3/15/17124362/microsoft-spectre-bug-bounty-speculative-execution

[43] процессорными уязвимостями: https://1cloud.ru/blog/uyazvimost-meltdown-spectre?utm_source=habrahabr&utm_medium=cpm&utm_campaign=infosecurity&utm_content=blog

[44] ищет помощи: https://searchsecurity.techtarget.com/news/252435175/Intel-bug-bounty-programs-widened-after-Meltdown-and-Spectre

[45] специализированные платформы: https://www.trustradius.com/bug-bounty

[46] смогла обеспечить: https://www.hackerone.com/blog/20M-in-bounties-paid-and-100M-in-sight

[47] подвела итоги: https://slack.engineering/slack-bug-bounty-three-years-later-ad59e9188603

[48] выложил в сеть информацию: https://labs.detectify.com/2017/02/28/hacking-slack-using-postmessage-and-websocket-reconnect-to-steal-your-precious-token/

[49] тесты на уязвимость: https://www.wired.com/story/hack-the-pentagon-bug-bounty-results/

[50] По словам: https://www.techrepublic.com/article/hackerone-predicts-its-bug-bounty-payments-will-quintuple-by-2020/

[51] не такая радужная: https://www.cyberscoop.com/bug-bounty-marketplace-katie-moussouris-microsoft/

[52] обнаружил: https://xakep.ru/2015/12/19/wineberg-vs-facebook/

[53] пригрозил: https://www.forbes.com/sites/thomasbrewster/2015/12/17/facebook-instagram-security-research-threats/

[54] утверждают: https://fcw.com/articles/2018/04/19/dhs-bug-bounty-senate.aspx

[55] не было: https://www.cyberscoop.com/bug-bounty-programs-hackerone-public-companies/

[56] увеличивают: https://www.businesswire.com/news/home/20170627005599/en/HackerOne-Report-Shows-Bug-Bounty-Industry-Bounty

[57] привлекают средства от инвесторов: https://www.cyberscoop.com/hackerone-40-million-series-c/

[58] Gordon: https://www.flickr.com/photos/monkeymashbutton/7618269720

[59] CC: https://creativecommons.org/licenses/by-sa/2.0/

[60] прогнозирует: https://www.gartner.com/smarterwithgartner/7-top-security-predictions-for-2017/

[61] представили платформу: https://habr.com/company/1cloud/blog/334552/

[62] похожее решение: http://www.wired.co.uk/article/ubisoft-commit-assist-ai

[63] внедряют: https://www.csoonline.com/article/3250850/security/artificial-intelligence-and-cybersecurity-the-real-deal.html

[64] Все что нужно знать о принципах сетевого нейтралитета: https://1cloud.ru/blog/principy-setevogo-nejtraliteta?utm_source=habrahabr&utm_medium=cpm&utm_campaign=infosecurity&utm_content=blog

[65] Как обеспечивается безопасность данных в облаке: https://1cloud.ru/blog/bezopasnost-dannih-v-oblake?utm_source=habrahabr&utm_medium=cpm&utm_campaign=infosecurity&utm_content=blog

[66] Что такое SSL-сертификат и зачем его покупать?: https://1cloud.ru/blog/zachem-pokupat-ssl?utm_source=habrahabr&utm_medium=cpm&utm_campaign=infosecurity&utm_content=blog

[67] Источник: https://habr.com/post/359364/?utm_source=habrahabr&utm_medium=rss&utm_campaign=359364