После ухода платформы HakerOne (h1) в России появилось несколько отечественных площадок Bug Bounty. Две из них информационная служба Хабра уже осветила, и вот настало время рассказать ещё об одной. На удивление, самую первую в России Bug Bounty площадку мы обозреваем самой последней. BugBounty.ru появилась ещё до ухода h1, до санкций и всех известных событий последнего года.

Ну что же, лучше поздно, чем никогда, подумал я и решил расспросить амбассадора этой площадки, специалиста по Bug Bounty, специалиста по информационной безопасности и большого друга Хабра, а именно Луку Сафонова, о самой платформе BugBounty.ru.

Лука Сафонов в своё время написал хорошую статью про Bug Bounty, а недавно представил публике ещё одну — «Bug Bounty vs Penetration testing». Очень советую прочитать эти статьи, чтобы лучше понимать, о чём наш сегодняшний материал.

Также стоит ознакомиться с материалами по Bug Bounty от Positive Technologies и BI.ZONE. И да, некоторые вопросы будут перекликаться с предыдущими статьями, но мнение двух специалистов всегда интереснее, нежели мнение одного.

1. Из существующих платформ Bug Bounty ваша появилась самой первой в России, если не считать разные платформы в рамках одной компании. Причём вы создали её ещё до того, как зарубежные платформы ушли из России. Что стало поводом для создания своей платформы?

Идеи открыть площадку в РФ были давно. В 2020 году удалось перекупить домен bugbounty.ru и часть из них воплотилась на данной площадке. Гораздо ранее многие наши сотрудники участвовали как хантеры на зарубежных площадках, плюс сами при разработке программ создавали self-hosted программы для тестирования собственных продуктов (WAF, Antilocker и проч).

2. Не могли бы вы рассказать немного о вашей платформе?

Изначально у нас была некая коллаборация с Казахскими специалистами из Царка (они делились своей экспертизой в построении bugbounty.kz, мы же, в свою очередь, помогали им с реализацией Национального Киберполигона), но в 2021 году из‑за напряжённых международных отношений обмен экспертизой был прерван. Первая версия платформы действительно имела много общего с bugbounty.kz, но начиная с 2022 это полностью наш код, даже подход разный (у них монолит, у нас микросервисы).

Платформа постоянно развивается, мы стараемся учитывать лучшие практики международных площадок, при этом не перегружая излишним функционалом. Большое внимание уделяем безопасности самой платформы (у конкурентов, к примеру, были найдены уязвимости, в том числе XSS, у нас — нет, слава богу), средствам мониторинга и защиты отчётов и данных.

Мы, наверное, единственная пока платформа с публичными социально‑значимыми проектами, уязвимости которых не оплачиваются холдером программы (а нами зачастую да), например, это проект «Бессмертный Полк». Хабр мы тоже считаем таким проектом и зовём к нам на безвозмездной основе. =)

У нас очень серьёзные и уважаемые нами конкуренты, это не даёт возможности относиться к нашей платформе спустя рукава. Также мы за уважение багхантерского комьюнити, это и мы в прошлом сами, и наши друзья и коллеги, поэтому к их просьбам и предложениям относимся очень серьёзно.

3. Сколько сейчас компаний представлено на вашей платформе?

7 компаний (из них тот же VK с примерно 30 дочерними компаниями).

4. Есть ли на вашей платформе государственные или окологосударственные компании? 

Были пилоты в приватном режиме, к сожалению, не можем раскрыть информацию. Из публичных фактов — помогали с запуском bb.gosuslugi.ru (Bug Bounty Госуслуги) в 2021 году.

5. Насколько сложно с ними взаимодействовать и безопасно ли это для белых хакеров, или всё держится на «честном слове» ведомства?

Зависит от требований; обычно они очень жёсткие (если это приватная программа), для белых хакеров это безопасно при соблюдении ряда условий (на что многие не хотят идти по причине параноидальности — это их право). Тем не менее аналог open bug bounty и приёма багов есть у ФСТЭК (Федеральная служба по техническому и экспортному контролю).

Ниже представляю упрощённую схему взаимодействия с госпрограммами.

Также уже появляются тендеры на проведение Bug Bounty, что говорит о легализации данной услуги и внедрения её в цикл безопасности. 

6. Вы были участником других Bug Bounty? Какие вам были удобны?

Я зарегистрирован на большинстве мировых платформ, из зарубежных удобнее всего h1. Немаловажным удобством я, да и многие хантеры, считают быстроту ответов и адекватность триажеров. Зарегистрирован и у PT, и у BI.ZONE. В программе BI.ZONE сдал один отчёт (XSS) — дубль.

7. Какие требования у вас на платформе для подключения новой компании?

Стандартные: юрлицо, программа, соблюдение условий договора. Никаких скам, противозаконных и противоправных кампаний.

8. Этот вопрос задавался вашему коллеге из Positive Technologies, и звучит он так: Bug Bounty vs пен-тест vs SecOps. Одно может заменять другое, или это всё — элементы одной мозаики? 

Это всё элементы зрелой политики ИБ. Про сравнение я писал недавно.

9. У вас в программе есть правила для этичных хакеров, участвующих в программе? Если они нарушают эти правила, что их ждёт: удаление из программы или сначала штраф? Были ли случаи нарушения, если можно раскрывать?

Штраф наложить проблематично, мы же до выплаты не знаем, кто такой/такая этот хантер. Да и выплату он может получить на любое лицо, ведь не проверишь же получателя: он нашёл багу или нет (да, можно указать свою бабушку в роли получателя выплаты за баги, обнаруженные хантером с ником 3vi1Bl00dYh@ck3r, если будут предоставлены необходимые документы и соблюдены все формальности). Мы можем забанить пользователя на площадке за спам/угрозы/вымогательство при согласовании с холдером программы. Но злодей может снова зарегистрироваться на новую почту и ник. Логов мы не ведём и деаноном не занимаемся.

10. Вы написали 5,5 лет назад отличную, на мой взгляд, статью по Bug Bounty. Вас побудила написать её нехватка знаний у сообщества по таким платформам, или статья носила более популяризаторский характер для обывателей?

Скорее популяризация этого направления. Вообще моё первое участие в Bug Bounty было у Яндекса, чуть более 10 лет назад.

11. Что бы вы посоветовали человеку, который хочет начать зарабатывать на программах Bug Bounty?

Не расстраиваться в начале пути. Почитать чужие отчёты, прокачать автоматизацию. Зачастую в Bug Bounty попадаются просто глупые/смешные баги, которые тем не менее хорошо оплачиваются. 99% таких багов находят краулерами/пауками/сканерами (но!) по кастомным словарям/листам.

12. Поделитесь рекордами: сколько уязвимостей нашёл самый продвинутый пентестер? Какова была самая большая разовая выплата? 

Самый продвинутый, наверно, больше 20, было много программ, есть спецы, которые «выжимают» что-то контентное, это 5-10 отчётов в рамках одной программы/скопа. У нас выплаты суммируются (поэтому итоговая сумма может быть любой), навскидку могу сказать, что самое большое было что-то порядка полутора миллионов рублей.

Из интересного — выплата 675 тысяч рублей в один из благотворительных фондов.

BugBounty.Ru 

Официальный telegram-чат

Круто осознавать, что наша платформа не только помогает компаниям находить уязвимости, но и становится проводником добрых дел. Не так давно один из исследователей bugbounty.ru помог Тинькофф выявить уязвимость в их сервисе, что позволило оперативно её закрыть и повысить безопасность обслуживания клиентов. В качестве поощрения Тинькофф по своей программе bug bounty выделяет бонусы багхантерам, при этом получатель при желании может отказаться от своего вознаграждения в пользу благотворительности. В таком случае Тинькофф увеличивает сумму в 5 раз и отправляет её в один из проверенных фондов, который исследователь может выбрать на сайте Тинькофф в разделе «Благотворительность». Так и поступил один из багхантеров проекта, пожертвовав свой бонус, который был увеличен до 675 тыс. рублей, в один из благотворительных фондов.

13. Какие были на платформе самый быстрый фикс с компанией и самый долгий? 

Самый быстрый был в течение 20-30 минут с отчёта, самый долгий — ещё в процессе фикса (более полугода).

14. Сколько вообще пентестер может зарабатывать на платформах и стоит ли для них это рассматривать как вариант основного заработка (при условии, что он не хочет переходить черту и заниматься тёмными делами)?

С учётом роста количества программ на всех трёх площадках — от нескольких десятков до нескольких сотен тысяч рублей в месяц. А если хорошо «поохотиться» в ВК — то и до нескольких миллионов. Мои самые большие выплаты Bug Bounty были порядка $15 тысяч за рубежом и примерно 300 тысяч рублей в РФ.

Вот такой вышел у нас разговор с Лукой Сафоновом о программах Bug Bounty в целом и о платформе BugBounty.ru в частности. На данный момент мы осветили все три площадки Bug Bounty в России. Две были освещены в формате интервью, одна — в формате новости. Поэтому пентестеры могут спокойно выяснить, какая из площадок им подходит (мне кажется, все три можно смело использовать). В остальном — уже на усмотрение багхантера. Все три компании, чьи Bug Bounty платформы мы обозревали, есть на Хабре, и им всегда можно задать вопросы. Сам Лука Сафонов нередко выпускает материалы на нашем портале и часто пишет в комментариях, поэтому ему тоже можно (а иногда и нужно) смело задавать вопросы.

Кроме того, хочется подытожить, что Bug Bounty — это не панацея от взлома. Взлом мог быть раньше до выхода компании на платформу, и неизвестно, какую информацию украли хакеры и решили ли они оставить себе бэкдор. И это только один из вариантов развития событий. Ведь багхантер может найти одну уязвимость, а хакеры во всю эксплуатируют другую. Однако, на мой взгляд, если компания хочет быть всесторонне защищённой, то выход на площадки Bug Bounty ей необходим. Потому что финансовые и репутационные потери, когда хакеры уже придут с вымогательскими предложениями или просто выложат информацию компании в открытый доступ, будут намного больше. Но от аудита безопасности, теста на проникновение и другой подобной ИБ‑работы тоже отказываться не стоит. Возможно, этичные хакеры, ИБ‑специалисты и багхантеры меня поправят, если я не прав.