На стороне добра: кто такие этичные хакеры

Рассказывают настоящие профи и топ-участники российских платформ Bug Bounty.

Есть такая категория этичных («белых») хакеров, которые выступают в роли независимых исследователей. Они легально помогают компаниям находить баги и слабые места в системах информационной безопасности, чтобы внутренние разработчики могли их вовремя пофиксить. Специальные публичные программы по поиску уязвимостей за денежное вознаграждение называют Bug Bounty, и многие интернет-компании по всему миру уже давно используют этот инструмент для улучшения защиты своих сервисов.

VK одной из первых в России стала привлекать внешних исследователей к охоте на баги, запустив конкурс для Почты Mail.ru. За долгие годы существования программа Bug Bounty внутри VK значительно расширилась, покрыв многие сервисы, и первой разместилась на всех отечественных платформах: BugBounty.ru, BI.ZONE и Standoff 365. С момента запуска в 2013 году, компания получила более 15 тысяч отчётов и выплатила независимым исследователям более 190 млн рублей.

Так кто же такие этичные хакеры и всегда ли деньги мотивируют их на то, чтобы искать баги? Как они попали в багхантинг и что нужно, чтобы стать крутым спецом? Об этом и многом другом поговорили c настоящими профи и топ-участниками российских багбаунти-платформ.

Изначально у меня путь был такой: поступил в университет на специальность «Информационная безопасность», но там основной упор был не на компьютерной безопасности, а на «технической» — защите акустических, виброакустических каналов и т. д. Мне было не очень интересно, но благодаря этому я получил базу знаний Computer Science. На последнем курсе узнал о CTF-соревнованиях и даже поучаствовал в одном. Это и стало мощным импульсом для изучения компьютерной безопасности и пентестинга. Изучал, по сути, все с нуля, опираясь на те неплохие фундаментальные знания, которые получил в университете. Про багбаунти узнал уже после знакомства с CTF. Примерно в 2016 году зарегистрировался на HackerOne, но никакой активности там не проявлял, так как понимал, что пока не готов конкурировать с другими хантерами.

Впервые услышал о Bug Bounty, когда Яндекс запускал конкурс «Охота за ошибками» в 2012, но я в нем не участвовал, а только интересовался. Полноценно багбаунтить начал в программах Яндекса и Mail.ru на платформе HackerOne в 2014 году. Также хантил и на других площадках, например, FixBer и BugHunt (ныне мертвые) или Bugcrowd (они выкладывали страницу компаний, которые не против того, чтобы у них искали баги). Этим я занимался в свободное время. Учился, как и многие в то время, методом проб и ошибок, изучением софта, чтением форумов Antichat и rdot, Хабра и личных блогов, например, mr.The, Kaimi&DX, Rushter, Raz0r.

Мне всегда казалось, что «хакер» — это некий собирательный образ человека, который очень хорошо разбирается во всех аспектах информатики. Конечно, я идеализировал этот образ, и вместе с тем, где-то внутри меня все время росло желание хоть немного соотносить себя с ним. Прочитав несколько статей об уязвимостях, я ринулся везде, где только можно, ставить null-байт. Мне повезло, и на одном веб-сайте я получил вывод участка памяти сервера. В ней содержалась приватная информация, поэтому я смог сдать свой первый «не дубликат» на HackerOne. Это можно считать моей точкой входа в Bug Bounty.

У меня совсем базовое образование. Ещё во время учебы в 9-10 классах мне повезло познакомиться с разработчиками ММО. Очень хотелось понимать, о чем они разговаривают, поэтому я пытался разобраться в коде opensource-движка. Это получалось плохо — у меня не было навыков программирования, но меня постоянно подбадривали и помогали. Так ресёрч стал моим основным занятием на ближайшие несколько лет. С разработкой ММО так и не сложилось, но навыки ресерча крепли, как на дрожжах.

Мой путь в багхантинг был непрост, точнее, извилист. Я учился в питерском Политехе на направлении инфобеза. Пока учился в бакалавриате, начал работать iOS-разработчиком с уклоном в ИБ, а в магистратуре пошел работать в другую компанию, которая занималась кибербезом во множестве проявлений. Поначалу там занимался именно разработкой, но со временем начал участвовать в других проектах — более исследовательских. Это затянуло меня с большей силой, и со временем я сосредоточил всё своё внимание на анализе защищённости веб-приложений.

Активно начал хантить в конце 2019, до этого были только попытки сдавать что-то на self-hosted программы. Моя основная деятельность — это Application Security, и для меня Bug Bounty программы — это скорее хобби со способом подзаработать. Для меня интересно изучать что-то на основной работе, а потом столкнуться с этим in the wild.

Если поискать в письмах, то сдавал баги больше десятилетия назад, но тогда я и не ожидал за это «баунти». Сейчас если и баунчу, то, как правило, в конкурсах, или сдаю баги, если что-то случайно нахожу. Но собираюсь как-нибудь в свободное время устроить себе забег по поиску уязвимостей.

Полноценно багхантингом я начал заниматься примерно в 2021 году. Изначально это был просто способ развеяться. Кодить вообще не хотелось, а поковырять что-то новое — это мне нравилось. Постепенно я стал уделять этому все больше и больше времени. Багхантинг для меня — это некий способ самовыражения и изучение чего-то, будь то библиотека или метод атаки. Плюс ко всему, это ощущения, которые получаешь, когда разобрался и понял, что нашел багу. Это не передать словами.

В багхантинге я относительно недавно. Первые попытки — в мае 2022 года, когда запустилась площадка Standoff 365, но я получил пару-тройку дубликатов и информативов — в итоге забросил всё на 9 месяцев. Потом решил снова попытать счастье в феврале — нашел первую оплачиваемую багу, и понеслось. Для меня это точно не основная работа, думаю, и никогда ей не станет, потому что я любитель стабильного дохода. Наверное, для меня самое важное в багхантинге — это возможность развития в профессиональной области. Финансовый аспект тут определённо важен, но и некий фактор «общественной значимости» тоже. Например, можно говорить «я наломал в VK»! Найти баги в соцсети ВКонтакте пока не получилось, но в других проектах компании — да.

Нравится ощущение после того, как находишь хороший баг – это что-то близкое к эйфории. Еще нравится осознавать, что уязвимости есть везде. Хотя это понимание может приводить и к паранойе — ты уже не считаешь сервисы, которые ты используешь, полностью защищенными.

Мне нравится, что на этом сейчас можно по-настоящему зарабатывать, раньше такого не было.

Для меня один из самых прикольных моментов в поиске багов — это скилл-чек. Если что-то не получается найти — значит, я мало знаю. Подобные вещи подстёгивают желание учиться.

Больше всего, конечно, нравится момент, когда нахожу уязвимость. Кому-то нравится путь, но, видимо, я не самурай и не мандалорец — мне важна цель!

Стараюсь искать баги, в которых хорошо разбираюсь, просто пропуская то, что совсем неинтересно. В этом и прелесть Bug Bounty — тебе не надо уметь всё и пытаться находить все баги, как при анализе защищенности. Ты можешь быть хорош в поиске каких-то определенных типов багов.

Мне нравятся логические уязвимости и интересные client-side атаки.

Больше всего нравятся цепочки: когда смотришь приложение, отмечаешь несколько уязвимостей без импакта, а потом пытаешься собрать из этого Вольтрона. Иногда создаётся очень красивая цепочка, к которой приятно вернуться и снова на неё посмотреть.

Интереснее всего, конечно, находить то, что оказывает максимальное воздействие на систему (RCE, например) или что может нести максимальные репутационные риски (например, IDOR на ПД пользователей). IDOR находятся чаще всего и, к сожалению, а может и к счастью, часто они не такие классные, как хочется.

Больше всего участвовал в программах Mail.ru. Началось все с простой Blind XSS. Тогда я понял, что даже с высокой конкуренцией можно искать и находить баги. В Mail.ru всегда нравилось, что есть таблица выплат, и по ней почти всегда можно определить потенциальную выплату за сданный баг ещё до оценки командой. Оценки по критичности (или CVSS) совсем непрозрачные для многих — иногда непонятно, какой актив программа считает критичным, а какой нет.

Сейчас уже очень ситуативно — если что-то нахожу в сервисах, которые часто использую, но и то бывает, что лень :)

Пока был доступен HackerOne, просто выбирал первую попавшуюся приватную программу. Иногда просто по названию или логотипу, иногда по сфере. Потом ушел в российское Bug Bounty, и тут отдельный респект площадкам Standoff 365 и BI.ZONE, потому что в короткие сроки развить эту нишу до таких масштабов дано не каждому. Здесь выбор пал на программы VK — было где разгуляться, потому что я достаточно медленно исследую, и мне удобно постепенно погружаться в большой проект и изучать его.

В VK очень понравилась коммуникация с аналитиками программы: один из первых же репортов, которые я сдал, был очень сложен в воспроизведении, но мы обговорили все детали, и его удалось воспроизвести. Такому подходу я был очень сильно удивлён — первый раз встретил такое отношение.

Я пока только в начале пути, поэтому не иду в такие топовые программы, как ВКонтакте, Почта Mail.ru или Одноклассники. Мне кажется, что там всё уже вычистили до меня, хотя думаю, что через год-другой и до них мои руки дотянутся. Самое крутое в маленьких, не очень популярных программах — это то, что там есть интересный функционал, который сходу может быть не доступен всем. Так у меня и получилось с программой Plazius. Там мне удалось найти, так сказать, дверь в тайную комнату, и в итоге я стал в этой программе топ-1. Ну и помог сделать сервис безопаснее.

Конечно, это опыт с Cитимобил. Я был первый, кто попал в партнерский сервис, и команда безопасности явно этого не ожидала. Из-за этого кейса появилась наша коллаборация с багхантером byq – мы хантим вместе до сих пор.

Помню, получил доступ к бэкапам LinkedIn, но баунти за это не дали.

Один из интересных репортов, о котором я могу вкратце рассказать, — это ошибка в настройке Salesforce, магазина цифровых товаров. Один эндпоинт позволял получить список всех артикулов в магазине: раскрытие этой информации позволяло бесплатно скупить весь магазин.

Наверное, самых запоминающихся кейсов у меня четыре, но расскажу про два. Во-первых, это моя самая первая бага, которая принесла баунти. Она навсегда будет в моём сердце. Там не было ничего суперкритичного — просто была доступна часть админского интерфейса, которая раскрывала излишние комментарии и позволяла увидеть чуть больше. Я тогда даже не рассчитывал, что что-то за нее получу, но полученные 30 тысяч рублей стали для меня переломными — я поверил в себя! А второй кейс — из свежего: это бага, которую мы нашли и раскрутили с багхантером Fi5T на Standoff Hacks в Сочи. Тут, конечно, самое крутое, что ты очно сидишь на ивенте и разматываешь уязвимость, как принято говорить, from zero to hero.

В первую очередь, это должно быть интересно. Если это история просто про деньги — это не будет работать, как мне кажется.

Внимательные, усидчивые люди.

Багхантером может стать в целом кто угодно, главное тут — желание и интерес разбираться, как та или иная вещь работает. Естественно, людям с IT-образованием или в принципе с опытом в IT (тестировщики, разработчики или аналитики) это будет чуть легче, ведь они уже знают многие базовые вещи, например, принципы работы компьютерных сетей, архитектуры клиент-серверных приложений, основы криптографии. Но и всё это можно узнать по ходу дела.

Почему круто быть багхантером? Круто заниматься тем, что приносит тебе удовольствие (и деньги), и не менее круто знать и говорить на каждом углу, что ты взламывал и делал безопаснее VK, Яндекс, Сбер, Тинькофф и многие другие сервисы, которыми пользуются почти все в нашей стране.

Багхантером может стать любой желающий. Всё, что нужно делать — учиться и пробовать. Как только получилось разобраться с чем-то одним, нужно переходить к другому. Постепенно то, что было непонятно, станет понятно. Главное — пытаться докопаться до сути, разобраться, почему что-то работает именно так. В этом и есть вся крутость багхантинга: всё, что у нас есть — это время, которое мы вкладываем сами в себя.