Цифровые робингуды, или Кто и как зарабатывает на поиске уязвимостей
В гостях у девятнадцатого выпуска подкаста «Сушите вёсла» — руководитель продукта The Standoff компании Positive Technologies Ярослав Бабин. Говорили о Bug Bounty — программе, которая предлагает вознаграждение за нахождение уязвимостей, — вопросе национальной безопасности и о том, берут ли спецслужбы на работу пойманных хакеров.
«Сушите вёсла» — подкаст про разработку, аналитику, тестирование и всё, что связано с созданием ИТ-продуктов. Авторы — ведущий android- разработчик red_mad_robot Рома Чорыев и разработчик Артём Кулаков.
Слушайте весь выпуск по ссылке или читайте короткую выжимку — ответы на шесть главных вопросов эпизода.
Тайминг
02:32 — как Ярослав попал в сферу информационной безопасности
07:00 — зачем идут в хакеры и как выбирают шляпу
09:30 — чем отличаются белые хакеры от черных
17:50 — о конференции Positive Hack Days
20:05 — что такое Bug Bounty и как она появилось
22:40 — какие есть платформы и в чём между ними разница
27:30 — как происходит взаимодействие между хакером и компанией на уровне платформы
30:05 — как с деньгами обстоит вопрос
40:02 — «Великий исход» зарубежных платформ. Что произошло и что делать дальше
42:00 — российские Bug Bounty платформы: какие есть, какие будут, какая планируется аудитория
50:04 — как всё устроено: кто оценивает адекватность отчётов, приватные программы, рейтинг, мерч
55:02 — чем будет платить русское Bug Bounty: рубли, юани, биткоин?
56:10 — с чего начать путь с Bug Bounty — личный пример гостя
Как попасть в сферу информационной безопасности
Наш гость рассказал, что увлекается информационной безопасностью с детства: в седьмом классе наткнулся на статью об эксплуатации SQL-инъекций, увлёкся, начал изучать. Потом стал писать на Python и уже примерно понимал, как происходят атаки на веб-приложения. Так и выбрал профессию.
От чего зависит «цвет шляпы» хакера
С разных точек зрения один хакер может быть и «черным», и «белым» — зависит от того, кто его оценивает. Но нашему гостю не близко бинарное деление на условно хороших и плохих. Немного напоминает историю про оружие: вещь, которая работает в контексте того, кто её держит, — и либо помогает, либо вредит.
Есть ли романтический флёр вокруг хакеров и как к этому относятся в индустрии
По мнению Ярослава, СМИ дискредитировали окраску слова «хакер», и теперь оно всегда звучит негативно.
Сейчас существует много тренировочных площадок для хакеров, но по мнению гостя, они все «несколько синтетические». Продукт The Standoff, который выпустила компания Ярослава, — это инфраструктура, созданная на основе реальных объектов, пентестов и понимания того, как работают корпорации и госкомпании.
Что за Bug Bounty и как она появилась
Bug Bounty — это платформа, агрегатор между исследователями по безопасности и компанией, которой интересно усиливать свою безопасность. Компании описывают в своих политиках, чего бы они хотели, чтобы хакеры сделали: посмотрели какой-то сервис, попробовали найти какие-то уязвимости и, например, не использовали такие-то атаки на клиентов и сотрудников. А хакеры изучают эту информацию, смотрят, какое количество денег клиент готов заплатить за ту или иную уязвимость, и либо соглашаются и начинают искать эти уязвимости, либо не соглашаются и ищут другую программу.
Какие самые популярные платформы и в чём между ними разница
Таких платформ около пятнадцати во всем мире, самые известные среди них — HackerOne, Bugcrowd. Есть программы Bug Bounty от определённых клиентов, которые размещаются у себя и не приходят к кому-то на площадку, — например, у «Яндекса» собственная платформа для отправки уязвимостей.
Может ли Bug Bounty прокормить хакера
Средние выплаты по платформам находятся в границе 200–400 долларов за уязвимость. Но всё зависит от программы: какой у неё бюджет и сколько она готова потратить на выплату хакерам. Иногда это критичная уязвимость — от неё может быть большой ущерб, поэтому компании за неё платят много. Например, у того же «Яндекса» в расценках написано, что это 750 тысяч рублей. В каких-то бывает намного больше — доходит до 50 тысяч долларов.
Это имидж компании, которая занимается своей безопасностью и следит за тем, чтобы не происходили утечки данных о клиентах и атаки на них. Платформе это выгодно.
С чего начать путь в Bug Bounty
Ярослав поделился личным опытом.
Гость добавляет, что стоит попробовать понять, какие навыки нужны хакеру, — изучать специальную литературу и периодику. И идти на платформу.
Слушайте нас там, где удобно — Mave, Apple, Google Podcasts, Яндекс.Музыка.
Предыдущие выпуски подкаста «Сушите вёсла»
- «Юра, мы всё… Поехали!»: что делать программисту в космонавтике.
- Очень технический выпуск: про DDD и проектирование сложных систем.
- «Сделай мне красиво»: как работает дизайнер интерфейсов и чем дизайн похож на музыку.
- «Закон есть закон»: как жить в юридическом мире, если ты из ИТ.
- Кто такие биоинформатики: чем похожи на Data Science и почему полезны для человечества.
- Как машинное обучение изменит мир: как глубоко нейронка проникла в нашу жизнь и что нужно для старта карьеры в Data Science.
Если появились вопросы про поиск уязвимостей, приходите в наш Telegram-чат — ведущие и эксперты всё объясняет и расставят по полочкам. Или просто заходите обсудить выпуск.