Продолжаем выкладывать материалы с OFFZONE 2023. На этот раз я решил чуть подробнее расспросить про BI.ZONE Bug Bounty её руководителя Андрея Лёвкина. У нас был материал по этой платформе, но в формате новости. Однако подробного рассказа о платформе нет. И хотя время упущено, лучше поздно, чем никогда. Да и заодно можно посмотреть, как изменилась ситуация за год. Например, в прошлом году на платформе прошли предрегистрацию 300 багхантеров, первым заказчиком стала компания «Авито». Кстати, это ещё и второе интервью с прошедшего OFFZONE, первое — с белым хакером с псевдонимом Caster — скрыто в обзоре на это мероприятие.

Расскажите о ключевых изменениях и успехах платформы за год.

Главное достижение — платформой стало пользоваться больше компаний: с момента запуска их количество выросло от 1 до 23. При этом они размещают и публичные, и приватные программы.

На платформу пришли не только представители крупного бизнеса («Тинькофф», VK, «Авито» и так далее), у которых есть опыт работы с иностранными площадками, но и компании, не пробовавшие такой инструмент. Мы рассказали им, как работать с Bug Bounty, как взаимодействовать с багхантерами, как описывать программу так, чтобы у исследователей не возникало вопросов, и от чего отталкиваться при планировании бюджета.

Что касается технических результатов, самое важное здесь — то, что мы смогли облегчить багхантерам поиск уязвимостей. Нужно было сделать так, чтобы багхантера не принимали за злоумышленника и не блокировали, когда он начинает искать уязвимости. Эту задачу удалось решить при помощи VPN. Исследователи попадают в особый сегмент SOC, специальную зону отслеживания. Тогда сразу понятно, что это не активность злоумышленников, а легитимное исследование, которое не надо блокировать.

А ещё недавно мы сделали рейтинги и ачивки. Они нужны, чтобы дополнительно мотивировать исследователей к активности и показывать success story. Взять, к примеру, Рамазана Рамазанова, руководителя отдела внешних пентестов DeteAct. Только за третий квартал он получил больше 4,5 миллионов рублей за найденные уязвимости в программах, которые размещены на нашей платформе. Багхантеры видят, сколько можно зарабатывать на своих знаниях.

По сравнению с запуском — насколько увеличилось число багхантеров на платформе сейчас, спустя год?

Для бета‑тестирования платформы мы проводили предрегистрацию, и тогда к нам пришли около 300 человек. Сейчас мы говорим уже о тысячах исследователей. Однако надо понимать, что 20% участников программы дают 80% результата. По нашим оценкам, ключевых багхантеров в России около 200, и мы надеемся, что эта цифра будет расти. Именно эти ребята хорошо понимают, как писать отчёты, где искать уязвимости, какие риски можно реализовать в той или иной компании.

Если бы HackerOne не ушёл из России, вы бы всё равно запустили свою Bug Bounty‑платформу?

Да, 100% запустили бы. Мы начали её разработку ещё в 2021 году, уже тогда российский рынок кибербезопасности был готов подключаться к платформам Bug Bounty. Но обеспечить трансграничную передачу данных и соблюсти при этом все требования регуляторов довольно сложно и затратно в плане ресурсов. Из‑за этого компании предпочитают использовать локальные платформы и не передавать на иностранные серверы данные о найденных уязвимостях.

Так что мы видели, что российский рынок становится более зрелым и уже потенциально готов к появлению новой, исключительно российской платформы. Запуск платформы с самого начала планировался на 2022 год. Тогда мы готовились конкурировать с иностранными игроками и были уверены, что у нашего продукта есть для этого все возможности. Но обстоятельства поменялись, HackerOne ушел из России. Это добавило российским платформам потенциальных клиентов, но на планы по развитию платформы глобально повлияло не очень сильно.

Какие основные мифы о Bug Bounty сегодня существуют?

Начнём с организаций, которые размещают программы Bug Bounty. Они сильно опасаются, что бюджет рассчитать невозможно. Однако это не так. Бюджет — прогнозируемая история: как правило, 40% будет израсходовано в первый месяц. В это время происходит «прорыв плотины»: идёт кратковременный, но большой поток отчётов и большая нагрузка на команду, которая обеспечивает триаж.

Некоторые компании опасаются сотрудничать с независимыми исследователями, поскольку не уверены, можно ли им доверять. Однако на платформах Bug Bounty действуют очень строгие, я бы сказал, жёсткие правила, которые регламентируют деятельность багхантеров. В случае спорных ситуаций сама платформа выступает как арбитр. И это не говоря о том, что само сообщество багхантеров очень дорожит своей репутацией и в вопросах этики весьма щепетильно. Любой нарушитель будет моментально исключён из сообщества, а значит, потеряет возможность когда‑либо снова зарабатывать на поиске уязвимостей.

У багхантеров свои мифы и страхи. Во‑первых, что багхантинг — это якобы нелегально. На самом деле процесс Bug Bounty в России (и на нашей площадке в частности) максимально прозрачен и соответствует законодательству. Если багхантер соблюдает правила платформы, то никто его ни в чём не сможет обвинить.

Во‑вторых, багхантеры опасаются, что будет очень тяжело получать выплаты. Но это опять‑таки миф. Мы смогли автоматизировать этот процесс. Принцип такой: если компания назначила выплату и багхантер подписал документы с помощью электронной подписи, то через 30 часов деньги будут у исследователя на банковском счёте или карте. И это не какие‑то мифические деньги спустя месяцы, а реальные выплаты в короткие сроки.

Ну и последнее. Многие считают себя недостаточно квалифицированными, чтобы заниматься поиском уязвимостей. Иногда ребята не понимают, что порог вхождения в багхантинг достаточно невысокий в плане знаний. Я ещё слышу аргументы в духе «Что мне там делать, Рамазан уже всё нашёл». Но это не так: у тысяч исследователей множество различных подходов, поэтому каждый сможет отыскать что‑то своё.

У вас имеется обратная связь по улучшению работы платформы?

Да. Во‑первых, наша платформа разместила собственную программу на Bug Bounty. Через неё можно сообщить о багах в платформе. Во‑вторых, у нас есть электронная почта и telegram‑аккаунт для разных вопросов. В Telegram каждый желающий может задать свой вопрос — например, по интерфейсу, уточнению правил, спорным ситуациям с заказчиком и так далее. Мы это всё отслеживаем в обязательном порядке. Мы постоянно на связи с багхантерами. Ни одно обращение не останется без ответа, причём обратную связь мы даём максимально быстро.

А ещё мы запустили отдельный телеграм‑канал, посвященный исключительно Bug Bounty. Мы сообщаем там, например, о запуске новых программ, о повышении выплат.

Увеличились или уменьшились заработки багхантеров с появлением нескольких российских Bug Bounty‑платформ? Или не дотягивают до уровня 2022 года?

С одной стороны, соревноваться с HakerOne тяжело. Там сотни программ, а на нашей платформе в России всего 55 программ, включая приватные (прим. автора — по состоянию на август 2023 год). Это, конечно, несравнимо. С другой стороны, российские Bug Bounty‑платформы растут колоссальными темпами. 55 новых программ на BI.ZONE Bug Bounty всего за год — это очень хороший результат. На отечественные площадки приходят новые клиенты, а значит, число программ будет только увеличиваться. Так что да, сразу после ухода иностранных платформ доходы багхантеров на какое‑то время уменьшились, но ситуация выравнивается и продолжит улучшаться.

А можно зарабатывать от 120 тысяч рублей в месяц, занимаясь только багхантингом?

Багхантинг — это не совсем про стабильность. К сожалению, за один месяц можно заработать 2 миллиона рублей, а за следующий — ничего. Фактически программ на платформах представлено много, участвовать можно в любых на свой выбор, и потолка выплат тут нет. Если багхантер обладает высокими компетенциями, он может зарабатывать несколько миллионов в квартал. У начинающих исследователей доход, конечно, ниже, но с опытом он будет расти. Так что 120 тысяч в месяц — вполне достижимая сумма и далеко не предел.

Были ли случаи, когда человек, придя багхантером на платформу и успешно найдя несколько или много уязвимостей, попал в штат BI.ZONE?

В штат BI.ZONE — нет, хотя мы собеседовали нескольких людей. Но есть интересные кейсы, когда компании находят багхантеров по профильным чатам и предлагают работу. То есть человека, который принёс очень много крутых багов, спрашивают, не хочет ли он поработать в этой компании in‑house.

Однако надо понимать: багхантеры — это вольные люди. Скажем так, художники. Поэтому многим из них просто не подходит стандартный офисный график работы.

Ну и раз пошли аналогии с художниками, каким сейчас вам представляется портрет российского багхантера?

В целом аудитория преимущественно мужская, в среднем от 17 до 27 лет, IT‑специалисты. Но есть и девушки‑багхантеры, и их все больше. Чаще всего исследователи работают в крупных компаниях, с высоким уровнем кибербезопасности: там устоявшиеся процессы, есть понимание, как работать с уязвимостями, знают понятие red team. Причём эти специалисты скорее не пентестеры, а аппсекеры. Здесь, на конференции (прим. автора — OFFZONE 2023), большинство подходит под такое описание.

Вот такие итоги годовой работы BI.ZONE Bug Bounty получились. Радует, что всё больше компаний приходят к мысли, что надо проверять свою киберустойчивость разными методами. Да и госведомства тоже. Например, буквально три дня назад (10 ноября 2023 года) Минцифры РФ запустило второй этап программы по поиску уязвимостей на портале «Госуслуг» и других сервисах электронного правительства на тех же платформах, где ранее проводился первый этап.

Ну и да, моё мнение не отличается от мнения Андрея: багхантинг — не сильно стабильная работа. Я считаю, что это больше хорошая подработка или оплачиваемое хобби. Пообщавшись с некоторыми специалистами на OFFZONE 2023, послушав выступление того же Рамазана Рамазанова на пресс‑конференции, посвящённой итогам BI.ZONE Bug Bounty, я именно такое мнение и составил. Возможно, это не так, тем более я не настолько разбираюсь в багхантинге. Надеюсь, есть и другие взгляды.