Bug Bounty

Дата: 01.12.2022. Автор: Астрал.Безопасность. Категории: Обзоры средств защиты информации
Bug Bounty

На сегодняшний день корпоративные ИТ-системы представляют собой комплексную структуру, которая не только помогает лучше осуществлять бизнес-процессы, но также становится рассадником для множества уязвимостей. Любое слабое место в ИТ-системах способно привести к крупным утечкам ценной информации или попросту стать причиной остановки работ. Подобные инциденты оборачиваются не только финансовым, но и репутационным ущербом для любой компании. 

Поиск уязвимостей — колоссальная и кропотливая работа, и далеко не всегда даже у крупных организаций хватает внутренних кадров для ее реализации. В таких условиях приходится искать помощь извне. Для решения этой проблемы и существует концепция Bug Bounty. 

Что такое Bug Bounty?

Bug Bounty — это программа, в ходе которой компания привлекает сторонних специалистов по информационной безопасности для тестирования своего программного обеспечения на уязвимости за вознаграждение. 

При проведении Bug Bounty, поиск уязвимостей ведётся в продуктах или в инфраструктуре, выставленных заказчиком. Исследователь получает в свое распоряжение всеобъемлющий набор информации — описание политик, список правил, описание того, что можно и что нельзя делать с исследуемым объектом. Соглашаясь с этими правилами, можно в удобное время выполнить задание. Обнаружив баг, следует отослать отчёт на площадку. Заказчик оценивает уровень обнаруженной угрозы и выплачивает вознаграждение. Его получает только тот, кто первым сообщил об обнаруженной уязвимости.

Существует множество площадок для проведения Bug Bounty. Публичные — которые способны привлечь большое количество хакеров и обеспечить широкий охват поиска. Они помогают новичкам быстро вырасти профессионально, набрать необходимый опыт и получить крупное вознаграждение. Существуют также и приватные платформы, где специалистов отбирает сам вендор, который предоставляет им эксклюзивный доступ для оценки. В список избранных попадают высококвалифицированные, известные хакеры. 

В этой статье мы рассмотрим какие площадки Bug Bounty существуют на сегодняшний день, их особенности и вознаграждения, которые они предлагают.

Hacker One

Одна из старейших и самых известных международных площадок, на которой представлены множество мировых компаний, а также проекты с открытым кодом. Основное направление — поиск уязвимостей в веб-приложениях, но есть также предложения о поиске уязвимостей в мобильных приложениях и нестандартные альтернативные варианты.

Платформа дает возможность просматривать публичные отчеты от других участников и набираться тем самым опыта, а также узнать размер выплат от каждой компании.

Bug Bounty
Bug Bounty

HackerOne также имеет множество приватных программ, к которым допускаются специалисты с высоким рейтингом.

В начале 2022 года многие иностранные платформы bug bounty, в том числе и HackerOne, отказались от сотрудничества с российскими и исключили из числа своих клиентов российские компании. Данные обстоятельства сподвигли искать замену зарубежным решениям, что привело к созданию множества интересных отечественных проектов.

Standoff 365

Новая площадка от компании Positive Technology, вышла на рынок громко и с размахом из-за присоединения к программе Bug Bounty компании VK.  VK — одна из первых компаний в России, которая начала платить внешним исследователям за найденные уязвимости. С 2013 года VK получила более 15 000 отчетов, что позволило ей усилить защиту пользовательских данных и исправить уязвимые места. Всего за время действия программы bug bounty компания выплатила более 185 млн рублей. В программу bug bounty VK входят более 40 проектов. В зависимости от уровня угрозы найденной уязвимости исследователи безопасности получают вознаграждения от 6 тыс. до 1,8 млн рублей.

The Standoff 365 Bug Bounty была представлена в мае 2022 года. Исследователи безопасности, работающие в рамках платформы, могут получать награду не только за обнаружение отдельных рисков, но и за демонстрацию их реализации. 

На данный момент The Standoff 365 Bug Bounty обладает наибольшим количеством представленных программ на территории СНГ, и каждую неделю этот список пополняется. Правила и выплаты указаны в каждой программе, давайте рассмотрим на примере VK Pay.

VK Pay — платёжный сервис для шопинга покупателей и продавцов.

Область действия

Основные домены:

vkpay.com, api.money.mail.ru, cpg.money.mail.ru, dbo.money.mail.ru, merch- cpg.money.mail.ru, pw.money.mail.ru, sbp.money.mail.ru, sbp-agent.money.mail.ru, sbp- gost.money.mail.ru

Остальные домены:

.vkpay.io, *.vkpay.com, *.vkpay.app и *.money.mail.ru за исключением делегированных и размещенных на внешнем хостинге доменов и фирменных партнерских сервисов.

Правила вознаграждения:

Суммы вознаграждения указаны в описании только для справки. Применимость вознаграждения и его размер могут зависеть от серьезности проблемы, новизны, вероятности использования, окружения и/или других факторов. Решение о вознаграждении принимается командой безопасности VK для каждого сообщения индивидуально.

Размер вознаграждения:

УязвимостиОсновныеОстальные
Remote Code Execution (RCE)1 800 000 ₽180 000 ₽
Инъекции (SQLi или альтернатива)1 200 000 ₽120 000 ₽
Доступ к локальным файлам и работа с ними (LFR, RFI, XXE) без ограничений типа jail/chroot/file type restrictions1 200 000 ₽120 000 ₽
RCE в Dev. инфраструктуре / изолированный или виртуализированный одноцелевой процесс (например преобразование изображений)  600 000 ₽  30 000 ₽
SSRF, не слепые (с возможностью читать текст ответа), кроме выделенных прокси600 000 ₽30 000 ₽
SSRF, слепые, кроме выделенных прокси90 000 ₽15 000 ₽
Уязвимость на стороне сервера с раскрытием информации (например утечки памяти / IDORs) критически важных или высоко конфиденциальных данных приложения (например, сессии, учетные записи, пароли, кредитные карты, сообщения электронной почты)900 000 ₽60 000 ₽
Уязвимость на стороне сервера с раскрытием информации (например, утечки памяти / IDORs) защищенных персональных данных или конфиденциальной информации клиента360 000 ₽60 000 ₽
Уязвимость на стороне сервера с раскрытием информации (например утечки памяти / IDORs) конфиденциальных данных приложения* или инфраструктуры / повышение привилегий роли в организации9 000 ₽ — 360 000 ₽3 000 ₽ — 60 000 ₽
Обход аутентификации администратор/поддержка300 000 ₽15 000 ₽
Слепая XSS в интерфейсе администратор/поддержки180 000 ₽0 ₽
Межсайтовый скриптинг (XSS) при чтении электронной почты через содержимое сообщения (кроме AMP)120 000 ₽0 ₽
Межсайтовый скриптинг (XSS)**60 000 ₽0 ₽
Подделка межсайтовых запросов (СSRF)9 000 — 60 000 ₽0 ₽

Как мы видим, присутствуют очень больше выплаты за критичные уязвимости, но данная сумма также облагается подоходным налогом.

Отчеты в личном кабинете представлены в нескольких стадиях:

Bug Bounty
  • На рассмотрении — список недавно найденных уязвимостей. 
  • Принятые — уязвимости, за которые назначены выплаты.
  • Отклоненные — уязвимости-дубликаты или не соответствующие правилам программы

Выплаты же происходят регулярно, что не может не радовать охотников за уязвимостями.

Bug Bounty

Так же как и на платформе Standoff 365, на площадке присутствует статистика и рейтинг, что в дальнейшем возможно будет использоваться для закрытых программ.

Bug Bounty

BugBounty.ru

Также одна из новых площадок, на которой представлены такие крупнейшие компании такие как «Тинькофф Банк» и СберМаркет.

Bug Bounty

В программе платформы присутствует благотворительная акция по поиску уязвимостей на сайте движение Бессметрный Полк — найденные уязвимости не будут оплачены, однако баунти хантер сделает этот мир немного безопаснее.

На площадке присутствует рейтинг хантеров, что позволяет выявить наиболее активных и лучших участников.

Bug Bounty

Также очень удобно выполнена форма сдачи уязвимостей, что позволяет бизнесу лучше понимать критичность найденных уязвимостей.

Bug Bounty

Интерфейс отличается своей простотой — выбираете пункты, описываете проблему, и можно сдавать.

BI.ZONE Bug Bounty

Данная площадка была представлена на конференции OffZone 25 августа 2022 года. BI.ZONE позиционирует свою разработку как хаб между бизнесом и независимыми исследователями — багхантерами. 

BI.ZONE Bug Bounty интересна тем, что здесь мы уже видим практику раскрытия найденных уязвимостей после их устранения или же активных хантеров.

Bug Bounty

Также есть список лучших исследователей.

Bug Bounty

Эта платформа относительна моложе остальных участников, из-за чего в данный момент тяжело оценить ее эффективность в полной степени.


ИТОГ
Bug Bounty — довольно новое для российской среды решение. Тем не менее ее пользу трудно отрицать, ведь подобные платформы уже из года в год помогают обеспечивать надежную информационную защиту крупнейших компании РФ. Долгое время проблема реализации Bug Bounty в России лежала в юридической плоскости, однако в 2022 году положение дел начало стремительно меняться.

Минцифры уже пообещало легитимизацию понятия «bug bounty» на законодательном уровне. Это позволит распространить подобные программы и возможности тестирования для государственных систем. Поэтому для Bug Bounty в России 2022 год становится только начальным этапом в процессе эффективного развития.

Автор: Гусева Ирина, специалист по информационной безопасности.

Об авторе Астрал.Безопасность

ГК “Астрал” — российская IT-компания, с 1993 года создает и внедряет прогрессивное программное обеспечение и решения на базе искусственного интеллекта. Астрал помогает коммерческим организациям и государственным структурам по всей России выбрать оптимальное ИТ-решение под их бизнес-задачи, бюджет и сроки.
Читать все записи автора Астрал.Безопасность

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *