Bug Bounty — это программа, в рамках которой компании платят людям за обнаружение уязвимостей и багов в их софте, сервисах, веб-сайтах или инфраструктуре.
Участников баг баунти называют «белыми хакерами» или «багхантерами». В обмен на сообщения об уязвимостях они получают вознаграждение, размер которого зависит от серьезности найденного бага и его потенциального влияния.
Багхантеры приобретают известность и уважение в индустрии за свой вклад в улучшение защиты данных и систем. Кроме того, баг-баунти — это возможность получить интересный оффер на работу.
Рассказываем, как развивалась практика Bug Bounty, где искать такие проекты и какие скилы нужны белому хакеру.
История развития Bug Bounty
Первый известный пример вознаграждения за обнаружение уязвимостей в безопасности — «замо́к Брама». В конце 18 века компания Bramah and Co., основанная Джозефом Брама, разработала замок, который считался сложным для взлома благодаря уникальной конструкции, которая использовала цилиндрический механизм.
Джозеф Брама был уверен в надежности изобретения, поэтому в 1790 году выставил на витрине своего магазина в Лондоне замок с предложением награды в 200 гиней тому, кто сможет его вскрыть. Эта сумма в то время была достаточно значительной.
Множество мастеров безуспешно пытались взломать его, и только в 1851 году американский мастер-замочник Альфред Чарльз Хоббс смог вскрыть замок Брама во время Великой выставки в Лондоне. Интерес к этому вызову значительно повлиял на индустрию замков и безопасности, подтолкнув разработку новых технологий и методов защиты.
В сфере IT первая современная программа Bug Bounty была запущена 140 лет спустя, в 1995 году. Компания Netscape предложила денежные вознаграждения разработчикам, которые найдут и представят ошибки безопасности в браузере Netscape Navigator 2.0.
Этот подход переняли с годами крупные компании, среди которых Mozilla, Google, Microsoft, Facebook, Yahoo и другие.
Вот несколько примеров:
В 2004 году Mozilla запустила программу и предложила вознаграждение от $500 за критические уязвимости, влияющие на безопасность браузера. В 2010 году компания увеличила размер вознаграждения до $3000 за критическую уязвимость. Программа действует до сих пор.
В 2013 году белый хакер получил $33,000 за обнаружение критической уязвимости в серверной инфраструктуре Facebook. Эта награда стала одной из самых крупных в истории программы Bug Bounty Facebook.
В 2015 году Кемил Хисматуллин обнаружил уязвимость в YouTube, которая позволяла удалять любые видео на платформе. Google признала это значительным вкладом в безопасность их сервисов и выплатила специалисту $5000.
Как работает Bug Bounty
Программы Bug Bounty часто дополняют регулярное тестирование на проникновение и помогают организациям проверять безопасность своих систем на протяжении всего жизненного цикла разработки.
Разумеется, у корпораций есть собственная команда по безопасности, но крупные компании постоянно разрабатывают и запускают множество продуктов. При таком количестве задач возможностей штатной команды по кибербезопасности перестает хватать — здесь на помощь приходит Bug Bounty.
Организации используют две основные модели для своих программ вознаграждения за обнаруженные ошибки: внутреннюю и платформенную.
Внутренние программы
Это программы, которые сами компании размещают у себя на сайте.
В этом случае работа строится следующим образом:
Компания объявляет о запуске Bug Bounty с описанием всех деталей: области, подлежащие тестированию, типы уязвимостей, которые их интересуют, и вознаграждения за каждый найденный баг.
Исследователи безопасности регистрируются и начинают тестировать программное обеспечение или веб-сайт на наличие уязвимостей, соблюдая правила программы.
Когда хакер обнаруживает ошибку, он заполняет отчет о раскрытии информации, в котором подробно описывается, что это за ошибка, как она влияет на приложение и какой уровень серьезности она имеет. Хакер включает ключевые шаги и детали, которые помогут разработчикам воспроизвести и проверить ошибку.
Компания проверяет сообщение, оценивает серьезность уязвимости и работает над исправлением ошибки.
Затем разработчики компании проводят повторное тестирование, чтобы подтвердить устранение проблемы.
После этого исследователь получает вознаграждение. Сумма может варьироваться в зависимости от серьезности уязвимости и политики компании.
Собственные программы Bug Bounty обычно запускают крупные корпорации. Например, за 2023 год компания Google суммарно выплатила 10 миллионов долларов за обнаружение ошибок.
В 2016 году Министерство обороны США решило задействовать этичных хакеров в своей программе «Взломать Пентагон». Программа привлекла сотни исследователей со всего мира. Они обнаружили около 7000 уязвимостей, и правительство выдало 15 вознаграждений. С тех пор программа запускалась несколько раз, чтобы найти и устранить многочисленные уязвимости системы, что повысило общую безопасность правительства.
Платформенные программы
Платформенные программы управляются сторонними платформами Bug Bounty, которые выступают посредниками между охотниками за ошибками и организациями. Платформы предлагают необходимую инфраструктуру, политики и процессы для запуска программы.
Эти опции помогают компаниям оптимизировать процессы подачи, проверки и распределения вознаграждений. Такой вариант больше подходит небольшим компаниям, у которых нет достаточных ресурсов и популярности среди исследователей для самостоятельного проведения программы.
Работа программы Bug Bounty через платформу строится по следующему алгоритму:
-
Регистрация компании и программы:
Программа публикуется на платформе и становится доступной для зарегистрированных участников.
Исследователи безопасности регистрируются в программе и проходят верификацию.
Они тестируют систему компании на наличие уязвимостей, следуя правилам программы.
Исследователи отправляет отчет через платформу, описывая уязвимость и предлагая методы ее воспроизведения и исправления.
Платформа автоматически уведомляет компанию о новом отчете.
Команда безопасности компании проверяет полученный отчет и подтверждает существование уязвимости. В случае необходимости исследователь и команда безопасности могут взаимодействовать через платформу для уточнения деталей.
Компания исправляет уязвимость и повторно тестирует систему.
После подтверждения исправления уязвимости и ее критичности компания устанавливает размер вознаграждения в соответствии с правилами программы.
Платформа начисляет вознаграждение исследователю.
Платформа предоставляет компании статистику и аналитику по обнаруженным уязвимостям, эффективности программы и затраченным средствам.
На основе полученной информации компания может корректировать условия и правила программы, улучшать свои системы безопасности и продолжать взаимодействие с платформой для дальнейшего поиска уязвимостей.
Платформы Bug Bounty
Сейчас в мире белых хакеров существует множество платформ для запуска программ Bug Bounty, и их количество постоянно растет, так как спрос на такие услуги увеличивается. Компании выбирают платформу в зависимости от своих потребностей, бюджета и специфики работы.
Наиболее популярные из них:
HackerOne
Самая известная платформа, на которой размещают свои программы различные компании, в том числе крупные игроки, например — IBM, LinkedIn, Uber и др.
HackerOne предоставляет удобные инструменты для отчетности и управления найденными уязвимостями, включая интеграции с различными системами для облегчения процесса тестирования и сообщения о багах.
Кроме денежной мотивации, для хакерского сообщества платформа составляет таблицу лидеров, что помогает им добиться признания среди коллег.
Bugcrowd
Связывает компании и их приложения с десятками тысяч исследователей безопасности для выявления критических уязвимостей. Среди известных разработчиков: Atlassian, Tesla и Motorola.
Поддерживает как частные, так и публичные программы Bug Bounty, что позволяет хакерам выбирать самые интересные и подходящие для себя задания.
Bugcrowd предлагает ресурсы для обучения и развития, включая вебинары, руководства и возможность взаимодействовать с другими специалистами по безопасности через Bugcrowd University и форумы.
Intigriti
Европейская платформа с акцентом на гибкость и адаптивность программ Bug Bounty. Intigriti предлагает широкий выбор тестов, сильное сообщество и систему поддержки. Платформа не только связывает хакеров с компаниями, но и способствует созданию профессионального комьюнити, где исследователи могут делиться знаниями и опытом.
Среди клиентов Intigriti можно найти такие компании, как Microsoft, Volkswagen, Adobe, Telenor, и KPMG.
Внутренняя команда Intigriti проверяет все отчеты хакеров перед отправкой клиентам, чтобы убедиться, что информация описана корректно, и исследователь сможет получить конструктивную обратную связь.
Synack
Частная внештатная исследовательская группа по безопасности, охватывающая 6 континентов из более 80 стран. Synack работает самыми сильными исследователями со всего мира, которые прошли строгий отбор.
Команда Synack выполняет тестирование на проникновение веб- и мобильных приложений и хост-инфраструктуры. Среди клиентов платформы такие компании, как Microsoft, Intel, SAP, Samsung и другие.
YesWeHack
Платформа предлагает баг-баунти-программы для разных типов систем и приложений. Компании-участники включают Airbus, Orange, Oxfam, Société Générale и др.
YesWeHack использует гибкие модели вознаграждений, которые могут варьироваться от фиксированных сумм до бонусов за особо серьезные уязвимости. Кроме этого, у платформы есть система рангов для охотников за ошибками, которая повышает конкурентоспособность исследователей.
HackenProof
Одна из самых молодых платформ баг-баунти и тестирования безопасности, которая предоставляет белым хакерам возможность искать уязвимости в системах таких компаний, как Coca-Cola, IBM и Nokia.
Она поддерживает систему динамического тестирования и автоматизированные инструменты для анализа. Хакеры могут работать не только над веб-приложениями, но и над мобильными приложениями и IoT-устройствами.
Bug Bounty в России
Программы Bug Bounty активно запускают и российские компании, чтобы повысить безопасность соцсетей, онлайн-банкинга, телекоммуникационных и интернет-сервисов.
Найти программы Big Bounty российских компаний можно на их сайтах или на онлайн-платформах.
Российские платформы Bug Bounty
Крупнейшая платформа баг-баунти в России, запущенная компанией Positive Technologies в 2022 году.
Предлагает значительные вознаграждения: за критические уязвимости можно получить до 1 миллиона рублей, за менее серьезные ошибки — от 15 000 до 250 000 рублей. На специальных мероприятиях, например Standoff Hacks, вознаграждения могут достигать 2 миллионов рублей.
Среди программ на платформе — проекты от крупных российских компаний, таких как VK, Okko, Positive Technologies, Ozon и других.
Платформа крупной дочерней компании Сбера — BI.ZONE. Суммы вознаграждений варьируются от нескольких тысяч до нескольких миллионов рублей. В 2023 году общая сумма выплат за найденные баги на платформе составила более 15 млн рублей.
На BI.ZONE Bug Bounty можно найти программы компаний Авито, VK, Т-Банк, Минцифры России и других.
Платформа предоставляет готовые шаблоны отчетов для удобства хакеров, поддерживает ИБ-комьюнити для обмена опытом, а также публикует отчеты исследователей в открытом доступе, чтобы другие багхантеры могли повышать свое мастерство.
Еще одна российская платформа, доступ к которой можно получить после быстрой регистрации. На Bugbounty.ru сейчас доступны программы ЮМани и сервисов и продуктов холдинга VK, таких как ВКонтакте, Одноклассники, Дзен и др. Максимальная сумма вознаграждения за критические баги достигает нескольких миллионов рублей.
Программы Bug Bounty на сайтах компаний
Большинство известных компаний использует платформы для размещения своих программ, но можно привести несколько примеров организаций, которые публикуют условия на своих сайтах.
Яндекс
У Яндекса есть собственная платформа Yandex Security Bug Bounty. На ней охотники за ошибками могут исследовать инфраструктуру, веб-сервисы и мобильные приложения компании. Скоро Яндекс откроет программы по взлому умной колонки и собственного браузера.
Участвовать в «Охоте за ошибками» могут пользователи в возрасте 14 лет и старше (за исключением сотрудников Яндекса или компаний-партнеров).
Размер вознаграждения публикуется на странице конкретного конкурса. Например, в рамках юбилейной программы баг-баунти «10 лет Охоте за ошибками» компания выплатила победителям в общей сложности 31 млн рублей.
Wildberries
Участвовать в баг-баунти программе Wildberries могут все желающие, достигшие совершеннолетнего возраста. Максимальная выплата за критические уязвимости составляет 500 000 рублей.
СКБ Контур
Компания Контур запустила публичное тестирование своих продуктов для бизнеса и предпринимателей, например «Контур.Фокус», «Контур.Эльба», «Контур.Диадок» и тд.
Вознаграждение выплачивается исследователям, которые находятся на территории России и имеют счет в российском банке. Максимальный размер составляет 300 000 рублей.
Какие скилы нужны для того, чтобы стать белым хакером в Bug Bounty
Охотники за ошибками — это люди, которые знают основы кибербезопасности и хорошо разбираются в поиске недостатков и уязвимостей.
Хард скилы, которые будут полезны багхантеру:
Понимание этических норм и правовых аспектов работы в области кибербезопасности для соблюдения условий программ и поддержания доверия к сообществу белых хакеров.
Уверенное владение языками программирования, например Python, JavaScript, Bash или Go для написания скриптов и автоматизации задач.
Основы веб-разработки, включая работу с HTML, CSS и JavaScript для понимания работы веб-приложений и поиска уязвимостей.
Навыки работы с базами данных и знание SQL для выявления уязвимостей, связанных с взаимодействием приложений и баз данных.
Знание сетевых протоколов таких как TCP/IP, HTTP/HTTPS, DNS для анализа сетевой активности и выявления уязвимостей.
Владение популярными инструментами для тестирования безопасности — Burp Suite, OWASP ZAP, Nmap.
Понимание основ работы с системами контроля версий Git, GitHub для управления изменениями кода и сотрудничества с другими исследователями безопасности.
Уверенное владение английским языком.
Софт скилы белого хакера
Способность анализировать данные и логически мыслить для интерпретации результатов тестов, нахождения уязвимостей и разработки методов их воспроизведения.
Навыки общения и написания отчетов для эффективной коммуникации с разработчиками и документирования найденных уязвимостей.
Полезные ресурсы для начинающих багхантеров
Литература по кибербезопасности:
The Web Application Hacker’s Handbook: Finding and Exploiting Security Flaws — в книге представлено описание различных новые технологий, которые используют в веб-приложениях, а также подробно разбираются новые виды атак на веб-приложениях.
Real-World Bug Hunting: A Field Guide to Web Hacking — путеводитель по поиску программных ошибок. Книга предназначена как для начинающих специалистов по кибербезопасности, которые хотят сделать интернет безопаснее, так и для опытных разработчиков, стремящихся писать безопасный код.
Bug Bounty Bootcamp: The Guide to Finding and Reporting Web Vulnerabilities — книга учит взламывать проверять исходный код приложений на наличие проблем с безопасностью, находить уязвимости в API и автоматизировать процесс взлома.
WEB HACKING 101: Books for White Hat Hackers — пособие по взлому систем — от базового до продвинутого уровня.
Видеоуроки и платформы для тренировки
Hacker101 — бесплатные видеокурсы на английском языке, которые охватывают основы и продвинутые техники багхантинга. Включают практические задачи.
The Cyber Mentor — англоязычный ютуб-канал со множеством видеоуроков по багхантингу и этичному хакерству.
Hack The Box — платформа, которая предоставляет виртуальные машины с различными уровнями сложности для практики в области кибербезопасности.
TryHackMe — интерактивные комнаты с различными сценариями для изучения и практики хакерства и кибербезопасности.
Bug Bounty изнутри — комментарий белого хакера
Я начал участвовать в программе Bug Bounty давно, еще до становления самого термина. Первую уязвимость я «продал», то есть рассказал администраторам системы — самому крупному на тот момент платежному решению WebMoney — про уязвимость и получил за это вознаграждение; это было более 15 лет назад. Участвовал в Bug Bounty от Рамблера (на тот момент это был неоспоримый лидер в отрасли).
Из запоминающегося — был случай, когда искал уязвимости в поисковом продукте, и удалось совершить полную компрометацию системы через поисковый запрос: можно было попросить робота проиндексировать системные файлы, затем показать результат, где содержались учетные данные. Люблю нестандартный подход и решения за пределами «взять инструмент и применить», видимо, потому и запомнился.
Но есть и обратная сторона медали. За последний год я разослал более сотни отчетов в компании разных размеров, от мастодонтов до мелких онлайн-магазинов. И, в это сложно поверить, получил меньше 1% откликов. Хотя речь идет об информации, которая может спасти порой сотни миллионов долларов для компании.
Антон Шустиков, CEO некоммерческого просветительского проекта CakesCats в таких сферах, как Crypto / InfoSec / AI
Если вы участвовали в программах Bug Bounty — поделитесь, пожалуйста, вашим опытом в комментариях к статье!
Получить глубокие знания в сфере кибербезопасности и освоить навыки багхантинга можно на совместной онлайн-магистратуре НИЯУ МИФИ и Skillfactory «Информационная безопасность».
Студенты программы учатся у экспертов из VK, «Сбера» и «Лаборатории Касперского», выполняют реальные рабочие проекты, а после выпуска могут начать карьеру пентестера, инженера ИБ или специалиста по форензике.
pyrk2142
Важный момент: BugBounty - это продажа уязвимостей за нефиксированную сумму, которую еще и не факт, что выплатят. Можно потратить много времени на поиск чего-то интересного, а в ответ получить:
1. 50$, так как это некритичная уязвимость
2. Ничего, так как это уже нашел другой исследователь
3. Ничего, так как это похоже на другую уязвимость
4. Ничего, так как это похоже на задачу из внутреннего беклога на 2028 год
5. Ничего, так как данные раскрыл подрядчик, хотя это полная БД компании
6. Ничего, так как этот домен не входит в программу, хотя там лежит полная БД компании
7. Ничего, так как компания резко перестала отвечать на платформе
8. Ничего, так как сотрудник платформы оказался настолько неграмотным и тупым, что не смог прочитать текст, воспроизвести уязвимость, и в итоге его начинает прикрывать руководство, чтобы не выглядеть совсем глупо
Иными словами, за достаточно серьезную уязвимость, которую человек искал весьма долго (плюс по ссылке описание другой уязвимости, там в самом конце ссылка на человека, который нашел возможность удаления видео), и которая позволяла смотреть приватные видео (!) человек получил что-то в районе недельной зарплаты разработчика, который это все кодил, или даже меньше
Мой рекорд - за доступ к письмам пользователей одного из крупных почтовых сервисов - полупрозрачная футболка и набор канцелярии
BugBounty все еще очень хороший инструмент для того, чтобы скидывать туда дешевые уязвимости, получая приятные бонусы. Да, можно потратить много времени и раскопать что-то крутое, получить много денег, известность, а потом это как-то развить. Или за ночь найти уязвимость и получить годовой доход. Но надо понимать, что такие случаи единичные, а багхнеров толпы. Это не сказочный мир из условного 2014 года, когда после запуска nmap и простого скрипта на Питоне подбегали представители разных компаний и засовывали в карманы деньги, благодаря за крутую работу
Требуется очень хорошая оценка навыков, целей, желаний и других возможностей, чтобы не разочароваться и не загрустить