Цифровые робингуды, или Кто и как зарабатывает на поиске уязвимостей
В гостях у девятнадцатого выпуска подкаста «Сушите вёсла» — руководитель продукта The Standoff компании Positive Technologies Ярослав Бабин. Говорили о Bug Bounty — программе, которая предлагает вознаграждение за нахождение уязвимостей, — вопросе национальной безопасности и о том, берут ли спецслужбы на работу пойманных хакеров.
«Сушите вёсла» — подкаст про разработку, аналитику, тестирование и всё, что связано с созданием ИТ-продуктов. Авторы — ведущий android- разработчик red_mad_robot Рома Чорыев и разработчик Артём Кулаков.
Слушайте весь выпуск по ссылке или читайте короткую выжимку — ответы на шесть главных вопросов эпизода.
Тайминг
02:32 — как Ярослав попал в сферу информационной безопасности
07:00 — зачем идут в хакеры и как выбирают шляпу
09:30 — чем отличаются белые хакеры от черных
17:50 — о конференции Positive Hack Days
20:05 — что такое Bug Bounty и как она появилось
22:40 — какие есть платформы и в чём между ними разница
27:30 — как происходит взаимодействие между хакером и компанией на уровне платформы
30:05 — как с деньгами обстоит вопрос
40:02 — «Великий исход» зарубежных платформ. Что произошло и что делать дальше
42:00 — российские Bug Bounty платформы: какие есть, какие будут, какая планируется аудитория
50:04 — как всё устроено: кто оценивает адекватность отчётов, приватные программы, рейтинг, мерч
55:02 — чем будет платить русское Bug Bounty: рубли, юани, биткоин?
56:10 — с чего начать путь с Bug Bounty — личный пример гостя
Как попасть в сферу информационной безопасности
Наш гость рассказал, что увлекается информационной безопасностью с детства: в седьмом классе наткнулся на статью об эксплуатации SQL-инъекций, увлёкся, начал изучать. Потом стал писать на Python и уже примерно понимал, как происходят атаки на веб-приложения. Так и выбрал профессию.
В 2015 году я попал в Positive Technologies на исследователя безопасности банковских систем, позже стал руководить всем Application Security. В декабре 2021 года перешёл на должность CPO продукта The Standoff — это киберпространство для специалистов по информационной безопасности. Мы делаем так, чтобы навыки хакеров, исследователей по информационной безопасности, CTF улучшали индустрию.
От чего зависит «цвет шляпы» хакера
С разных точек зрения один хакер может быть и «черным», и «белым» — зависит от того, кто его оценивает. Но нашему гостю не близко бинарное деление на условно хороших и плохих. Немного напоминает историю про оружие: вещь, которая работает в контексте того, кто её держит, — и либо помогает, либо вредит.
Скорее всего, это зависит от воспитания и морально-этических ценностей человека — он выбирает культуру, которая ему ближе. Для меня хакер — это человек, который занимается исследованиями, пытается понять, как работает алгоритм или функция. Если судить с этой стороны, то «чёрный» хакер просто использует это ради обогащения, ради цели, которая может показаться обществу плохой. А этичный хакер делает это во благо общества.
Есть ли романтический флёр вокруг хакеров и как к этому относятся в индустрии
По мнению Ярослава, СМИ дискредитировали окраску слова «хакер», и теперь оно всегда звучит негативно.
Я уже много времени занимаюсь тем, что пытаюсь вернуть честное название хакера, что это хороший человек, он помогает миру, индустрии становится лучше. Он помогает работать с безопасностью в лице бизнеса или государства.
Сейчас существует много тренировочных площадок для хакеров, но по мнению гостя, они все «несколько синтетические». Продукт The Standoff, который выпустила компания Ярослава, — это инфраструктура, созданная на основе реальных объектов, пентестов и понимания того, как работают корпорации и госкомпании.
Что за Bug Bounty и как она появилась
Bug Bounty — это платформа, агрегатор между исследователями по безопасности и компанией, которой интересно усиливать свою безопасность. Компании описывают в своих политиках, чего бы они хотели, чтобы хакеры сделали: посмотрели какой-то сервис, попробовали найти какие-то уязвимости и, например, не использовали такие-то атаки на клиентов и сотрудников. А хакеры изучают эту информацию, смотрят, какое количество денег клиент готов заплатить за ту или иную уязвимость, и либо соглашаются и начинают искать эти уязвимости, либо не соглашаются и ищут другую программу.
Началось это с компании Netscape, которая запустила первую свою Bug Bounty в 2000 году. Индустрия поняла, что есть энтузиасты, которым интересно искать уязвимости. А чтобы эти уязвимости не попадали в руки менее этичных людей, логично сделать публичную программу, куда могли бы приходить исследователи и легально зарабатывать и повышать собственную узнаваемость.
Какие самые популярные платформы и в чём между ними разница
Таких платформ около пятнадцати во всем мире, самые известные среди них — HackerOne, Bugcrowd. Есть программы Bug Bounty от определённых клиентов, которые размещаются у себя и не приходят к кому-то на площадку, — например, у «Яндекса» собственная платформа для отправки уязвимостей.
У кого-то может быть legacy: когда-то они сделали эту программу, и она у них до сих пор существует. Бывает, что они приходят на какие-то платформы, потому что платформы нужны для того, чтобы объединить вокруг себя сообщества хакеров. Чем больше хакеров, тем больше ты будешь получать уязвимостей и повышать свою безопасность. Используя свою площадку, о ней нужно постоянно рассказывать — это всякие PR- и маркетинговые активности, дополнительные вложения. Кому-то проще делать так. Зависит от бизнеса компании.
Может ли Bug Bounty прокормить хакера
Средние выплаты по платформам находятся в границе 200–400 долларов за уязвимость. Но всё зависит от программы: какой у неё бюджет и сколько она готова потратить на выплату хакерам. Иногда это критичная уязвимость — от неё может быть большой ущерб, поэтому компании за неё платят много. Например, у того же «Яндекса» в расценках написано, что это 750 тысяч рублей. В каких-то бывает намного больше — доходит до 50 тысяч долларов.
Безопасность с каждым годом становится всё важнее: рынок растёт, компании выходят и понимают, что им нужно заниматься своей безопасностью. Поэтому расценки увеличиваются и хакеры могут заниматься лишь Bug Bounty на нескольких площадках и зарабатывать хорошие деньги — 100–300 тысяч долларов в год.
Это имидж компании, которая занимается своей безопасностью и следит за тем, чтобы не происходили утечки данных о клиентах и атаки на них. Платформе это выгодно.
Платформа взимает деньги за присутствие на ней и за привлечение хакеров. И получает деньги с комиссии за выплату уязвимостей. Для хакера никаких ограничений нет: просто регистрируется и начинает ломать. У него есть какой-то внутренний рейтинг — с ним повышается доверие клиентов к нему. Его добавляют в какие-то приватные программы, где он может заработать гораздо больше.
С чего начать путь в Bug Bounty
Ярослав поделился личным опытом.
В 2015 году я хотел устроиться в Positive Technologies, но понимал, что мне очень не хватает навыков в Offensive Security (как раз в атакующей безопасности) — понимать, как искать уязвимости, как эксплуатировать. И я очень боялся пойти на Bug Bounty, потому что видел никнеймы людей, которые там в «Зале славы» находятся. Это были реально крутые чуваки. Люди из индустрии поймут: это Bo0oM (Антон Лопаницын), Black one. Я боялся попробовать просто зайти на платформу и что-то поискать. И всё же решился и нашёл там первую XSS минут за 20. И в итоге в этом году (в 2015) за три месяца я заработал в районе миллиона рублей. Мне был 21 год. По моим меркам это была огромная сумма. Я понял, что зря боялся, не пришёл на платформу, не попытался найти там какие-то уязвимости. Надо было просто приходить, садиться, включать Burp и начинать искать.
Гость добавляет, что стоит попробовать понять, какие навыки нужны хакеру, — изучать специальную литературу и периодику. И идти на платформу.
Я бы рекомендовал начинать с платформы, где присутствует не очень много хакеров и у вас есть конкурентное преимущество перед остальными в попытках поиска. Например, на «Яндексе» не так много специалистов, которые постоянно ищут уязвимости. Видимо, именно поэтому у меня там с самого начала получилось. Пробуйте приходить туда, где не очень много конкуренции.
Слушайте нас там, где удобно — Mave, Apple, Google Podcasts, Яндекс.Музыка.
Предыдущие выпуски подкаста «Сушите вёсла»
- «Юра, мы всё… Поехали!»: что делать программисту в космонавтике.
- Очень технический выпуск: про DDD и проектирование сложных систем.
- «Сделай мне красиво»: как работает дизайнер интерфейсов и чем дизайн похож на музыку.
- «Закон есть закон»: как жить в юридическом мире, если ты из ИТ.
- Кто такие биоинформатики: чем похожи на Data Science и почему полезны для человечества.
- Как машинное обучение изменит мир: как глубоко нейронка проникла в нашу жизнь и что нужно для старта карьеры в Data Science.
Если появились вопросы про поиск уязвимостей, приходите в наш Telegram-чат — ведущие и эксперты всё объясняет и расставят по полочкам. Или просто заходите обсудить выпуск.