Что такое bug bounty
Как начать заниматься Bug Bounty
Друзья, в этом месяце Otus запускает набор на новый курс — «Безопасность приложений». В преддверии старта курса традиционно подготовили для вас перевод полезного материала.
Как начать заниматься Bug Bounty? Этот вопрос весьма распространенный, и я продолжаю получать его в сообщениях день ото дня. Я не могу ответить на каждое сообщение, поэтому решил написать статью и отправлять всех новичков читать ее.
Я занимаюсь Bug Bounty уже пять лет. Тем не менее, есть множество вещей, которых я не знаю, да и сам я не эксперт, поэтому прошу не считать эту статью советом от эксперта. Я просто поделюсь тем, чего достиг за последние 5 лет, совершенствуя свои навыки день ото дня.
Введение
Я видел множество людей в Bug Bounty сообществе, говорящих: «я не технарь, поэтому у меня не очень хорошо получается заниматься Bug Bounty».
На самом деле это заблуждение, что быть хорошим специалистом в Bug Bounty может только кто-то из компьютерной сферы. Если вы знакомы с информатикой, это, безусловно поможет, но это не обязательно, вы можете вполне изучить основы самостоятельно. Однако, если у вас нет технического бэкграунда, заниматься bug bounty стоит только в том случае, если вы больше заинтересованы в изучении информационной безопасности, а не в зарабатывании денег.
По образованию я отношусь к области машиностроения, но интересовался информационной безопасностью со школьной скамьи, однако пошел получать образование именно в машиностроении по совету семьи, но акцентировался я всегда на информационной безопасности.
Я могу рассказать много историй о том, как люди из нетехнической сферы добиваются успеха в области информационной безопасности и bug bounty.
Однако у всех них были общие качества, а именно «интерес» и готовность заниматься «тяжелой работой».
Если вы думаете, что добьетесь успеха за одну ночь, за неделю или за месяц, то это не то, чем вам следует заняться. В bug bounty очень большая конкуренция, ведь хорошая «охота на баг» может занять целый год. Вам следует постоянно продолжать обучение, обмениваться опытом и практиковаться. Вас должно преследовать любопытство, вы должны стремиться узнать что-то новое и исследовать эту область самостоятельно. Сейчас есть очень большое количество бесплатного образовательного контента.
Не платите людям, которые говорят, что сделают из вас специалиста в bug bounty за одну ночь. Большинство из них – мошенники.
Ниже приведены вещи, которые вы должны знать, прежде чем начать заниматься информационной безопасностью.
Никто не сможет рассказать вам все об этой области, изучение – это долгий путь, который вы должны пройти в одиночку, пользуясь помощью других людей.
«Не жди, что тебе принесут все на тарелочке с голубой каемочкой.»
Как задавать вопросы?
Задавая кому-либо технический вопрос, делайте это со всей ответственностью.
Вы не должны задавать вопросы вида: «Вот конечная точка, не мог бы ты за меня обойти фильтр XSS?»
Вы должны задавать вопросы по существу – только и всего.
А еще не ждите, что люди смогут дать ответ на ваш вопрос в течение нескольких минут. Они ответят, как только у них появится свободное время, либо же вам могут вообще не ответить из-за своего плотного графика или по какой-то другой причине. Подходите уважительно к консультациям – не пингуйте кого не нужно.
Как найти ответы на все свои вопросы?
Что ж, я делал так раньше, делаю сейчас и буду делать в будущем. Я использую Google. (вы можете использовать и другие поисковики: Р)
Базовые технические навыки для начинающего
Я предполагаю, что у вас есть базовое понимание того, как работает все в интернете. Есть множество вещей, которые вам нужно изучить, но я не могу указать их здесь все. Я перечислю лишь несколько важных тем, а остальное вы узнаете сами.
Получить базовые навыки HTML, PHP, Javascript – Это лишь начало, поскольку список никогда не закончится, да и зависит он от ваших личных интересов. Вы так или иначе формируете интерес в соответствии со своими потребностями.
Также очень важно получить представление о различных типах уязвимостей как можно быстрее. Для этого я добавил раздел «Основы безопасности веб-приложений».
Выбор пути
Выбрать правильный путь в сфере bug bounty очень важно, и он будет полностью зависеть от ваших интересов, однако многие ребята выбирают для себя начинать с веб-приложений, да и сам я считаю, что этот путь самый простой.
Однако не ограничивайтесь этими двумя пунктами. Повторюсь, здесь дело интереса.
Начните с 2010 года, чтобы понять какие уязвимости оказались в топе в том году, проследите что стало с ними в 2017 году. Вы осознаете это изучая их и практикуя.
Вам не нужно осваивать это руководство по тестированию и сразу отправляться работать, работать начинать нужно над живыми (легальными) целями, ведь это единственный способ улучшить свои навыки.
Тестирование безопасности мобильных приложений
Как только вы получите больше опыта, вы сможете свободно переключаться между сферами, которые вам больше нравятся.
Есть одна остановка, которую нужно сделать на пути к безопасности мобильных приложений:
Книги, к которым я периодически обращаюсь
Каналы и плейлисты на Youtube
Конференции, которые вам стоит посмотреть
Akhil George — создал плейлист посвящённый bug bounty на Youtube.
Как зарабатывать на чужих ошибках: История Bug Bounty
Создатель Ruby on Rails Давид Хейнемейер Ханссон (David Heinemeier Hansson) однажды написал статью под заголовком «В программах встречаются баги. Это нормально». За всю историю работы человека с ПО (и не только с ним) баги были неизбежным и порой дорогостоящим спутником новых и интересных решений.
Есть и еще одно направление, на которое компании также не жалеют денег, — программы Bug Bounty. Крупные технологические корпорации — Apple, Facebook, Google — и даже правительственные организации выплачивают вознаграждения «белым хакерам» за поиск уязвимостей в ПО. Разберемся в истории этого явления.
Краткая история Bug Bounty
Прошло более 100 лет, и вопросы безопасности, которые решают компании, переместились в цифровое пространство. Программные уязвимости, которыми могут воспользоваться недоброжелатели, стали для бизнеса не меньшей проблемой, чем ненадежные дверные замки.
Предположительно, первой программой поощрения за поиск уязвимостей в ИТ стало объявление от Hunter & Ready, датируемое 1983 годом. Компания разрабатывала операционную систему реального времени VRTX и предлагала в качестве награды за найденный в ней баг Volkswagen Beetle («Жук»). Однако победитель мог забрать свой приз и деньгами — давали тысячу долларов.
/ Flickr / Greg Gjerdingen / CC
К середине 90-х в мире уже произошло несколько крупных хакерских атак и начала формироваться современная индустрия ИТ-безопасности. Тогда же набирали популярность первые веб-браузеры — в этой нише шло противостояние между продуктами Netscape и Microsoft. 1995-й был особенно успешным для первой — компания, пользуясь своим лидирующим положением на рынке, удачно провела IPO. В том же году инженер технической поддержки Netscape Джарретт Ридлинхафер (Jarrett Ridlinghafer), обнаружил, что многие пользователи-энтузиасты самостоятельно искали баги в браузере и выкладывали для них фиксы в сеть. Поэтому Джарретт предложил руководству поощрить подобную деятельность и начать выплачивать денежные вознаграждения.
Bug Bounty сегодня
Проблемы и победы Bug Bounty
Однако на сегодняшний день обстановка с программами Bug Bounty не такая радужная, как может показаться на первый взгляд. В индустрии случаются конфликты, связанные с правовыми вопросами «белого хакинга». В 2015 году эксперт по безопасности компании Synack Уэсли Вайнберг (Wesley Weinberg) обнаружил уязвимость, с помощью которой он получил доступ к огромному количеству данных Instagram: исходным кодам, SSL-сертификатам и приватным ключам, изображениям, загруженным пользователями, и др. Пользуясь этой уязвимостью, можно было выдавать себя за любого пользователя или сотрудника сервиса.
Уэсли сообщил о своей находке в Facebook, владеющей Instagram, рассчитывая на вознаграждение. Но представители компании сказали, что Вайнберг вышел за рамки, то есть получил доступ к личным данным сотрудников компании и пользователей сервиса. А это нарушает правила Bug Bounty компании.
За свою находку Вайнберг был исключен из программы, а его босс — Джей Каплан (Jay Kaplan), CEO Synack, — получил звонок от Алекса Стэймоса (Alex Stamos), сотрудника по вопросам информационной безопасности FB, который пригрозил обращением в полицию, если сведения об уязвимости будут опубликованы.
Этот инцидент поднимает вопросы баланса, этичности и контроля за работой «белых хакеров». С одной стороны компании хотят решить свои проблемы с безопасностью, но с другой им важно уберечь конфиденциальные сведения пользователей и сотрудников, не давая ИТ-исследователям «заходить слишком далеко». Сейчас в США утверждают законопроект, который позволяет Министерству национальной безопасности США запустить свою программу Bug Bounty. Возможно, он установит общие юридические рамки для всего рынка.
Будущее Bug Bounty
В 2017 году у 94% крупнейших публичных компаний из Forbes 2000 не было каналов для получения отчетов об уязвимостях. Однако те компании, которые все же имеют программы Bug Bounty, регулярно увеличивают выплаты участникам. При этом отдельные платформы привлекают средства от инвесторов. Это может говорить о том, что рынок расширяется, и у него есть потенциал для роста.
/ Flickr / Gordon / CC
Есть предпосылки и к автоматизации работы исследователей. Gartner прогнозирует, что к 2020 году 10% тестов на проникновение будут проводиться с помощью алгоритмов машинного обучения (по сравнению с 0% в 2016). Эту тенденцию подтверждают инвестиции в сферу автоматизированных bug hunting-систем. В прошлом году в Microsoft представили платформу, которая с помощью искусственного интеллекта выявляет уязвимости и сообщает о них разработчикам. У Ubisoft есть похожее решение для поиска багов в играх.
Это согласуется с тем, что все больше компаний внедряют решения на основе ИИ в корпоративные системы безопасности. Такой подход позволяет сочетать преимущества программ Bug Bounty с конфиденциальностью — чем меньше на процесс влияет человеческий фактор, тем ниже вероятность утечки информации. Поэтому в будущем, возможно, произойдет перераспределение финансирования между живыми и виртуальными «охотниками за багами».
Фирмы используют баг-баунти, чтобы купить молчание хакеров
Платформы баг-баунти — HackerOne, Bugcrowd и Synack — служат посредниками между белыми хакерами и компаниями, которые хотят улучшить безопасность своих продуктов. При правильном использовании логика простая:
Процедура раскрытия уязвимостей
Процедура раскрытия уязвимостей (vulnerability disclosure program, VDP) — практически обязательное требование для многих фирм. Например, Федеральная торговая комиссия США рекомендует компаниям принять такие процедуры и штрафует за плохие практики безопасности. Министерство внутренней безопасности в прошлом году приказало всем гражданским федеральным агентствам внедрить процедуры раскрытия уязвимостей.
Однако для любого агентства или компании VDP представляет собой огромную головную боль. Процедура выглядит так: исследователи безопасности сообщают вам о баге и дают максимум 90 дней, чтобы исправить его. Когда время истекает — они звонят какому-нибудь своему любимому журналисту и публикуют полную информацию об уязвимости в твиттере, а также выступают на конференции Black Hat или DEF CON, если это действительно сочный баг.
С одной стороны, процедура раскрытия уязвимостей обеспечивает определённый баланс между интересами компании, общества и самих исследователей безопасности, которые получают признание за свою работу. Однако существует ряд компаний, которые могут быть озабочены ценой своих акций и/или репутацией, так что они предпочтут заплатить деньги, чтобы избавиться от необходимости отчитываться перед общественностью.
Платформы баг-баунти предлагают организациям заманчивую альтернативу. Исследователи сообщают об уязвимостях в рамках соглашений о неразглашении (NDA). Им буквально платят за молчание. Затем компания делает что хочет. Может, исправит эти баги, о которых вы сообщили, если захочет. А может, и не исправит, но вам запрещено об этом говорить.
Молчание — это товар
Молчание — это товар. И похоже на то, что этот товар востребован на рынке. Спрос рождает предложение. Поэтому платформы баг-баунти развернули свою деятельность таким образом, чтобы предложить покупателям то, за что они готовы платить.
Бывший директор по политике HackerOne Кэти Муссури считает, что корень проблемы — в коммерциализации платформ баг-баунти, которые стремятся к экспоненциальному росту. Например, руководство HackerOne поставило цель собрать у себя на платформе 1 000 000 хакеров. Для них важно привлечь к выплате вознаграждений как можно больше компаний любого размера, на любых условиях.
Кэти Муссури, бывший директор по политике HackerOne, основатель Luta Security
«Эти коммерческие платформы для поиска уязвимостей… извращают всю экосистему, и я хочу, чтобы это прекратилось, даже если сама поплачусь за это, — говорит Муссури. Будучи одним из руководителей HackerOne, она получила опцион акций и может рассчитывать на щедрое вознаграждение в случае успешного публичного размещения акций HackerOne. — Я обращаюсь к вам вопреки своей личной финансовой выгоде».
Другие независимые эксперты согласны, что секретность вредит информационной безопасности: «Вознаграждения лучше всего делать прозрачными и открытыми. Чем больше вы пытаетесь засекретить их и принять NDA, тем менее эффективными они становятся, тем больше речь идёт о маркетинге, а не о безопасности», — говорит Роберт Грэм из Errata Security.
С ним согласен Джонатан Лейтшух, который в прошлом году разгласил катастрофическую уязвимость в программе видеоконференций Zoom (установка веб-сервера на локалхосте без ведома пользователя с удалённым выполнением команд).
Простой эксплоит, когда Zoom стоит на локалхосте:
Активация веб-камеры без разрешения пользователя:
Джонатан Лейтшух уведомил компанию 26 марта 2019 года, но она не исправила уязвимость, поэтому ровно через 90 дней хакер опубликовал статью с описанием в открытом доступе. Информация широко разошлась и наделала шуму. После этого компания мгновенно выпустила патч.
This new @zoom_us feature fully patches the #SecurityVulnerability where users were maliciously joined to a call without their permission.
Doing this in a week is an example the kind of fast response times we want to see in a properly executed bug bounty program!
Но хакер не получил вознаграждения. «Это одна из проблемы с платформами баг-баунти в том виде, в каком они существуют прямо сейчас. Они позволяют компаниям избежать 90-дневного срока на раскрытие информации, — говорит он. — Многие из этих программ строят свой бизнес на этой идее неразглашения. В конечном итоге создаётся впечатление, что они пытаются купить молчание исследователя».
Приватные баг-баунти
Соглашения о неразглашении платформ типа HackerOne запрещают даже упоминать о существовании приватных программ баг-баунти. Одного твита вроде «У компании X есть приватная программа в Bugcrowd» достаточно, чтобы хакера выгнали с платформы.
Хакеров заставляют молчать кнутом и пряником. Где пряник понятно, это — деньги. Но есть и кнут: за нарушение соглашения NDA исследователя могут привлечь к ответственности, вплоть до уголовного преследования. Такая же ответственность теоретически угрожает хакерам, которые на свой страх и риск публикуют информацию об уязвимостях, не заключая никаких соглашений с компанией, а просто руководствуясь общепринятыми принципами хакерской этики и сроком давности 90 дней с момента уведомления компании.
В 2017 году Министерство юстиции США опубликовало руководящие принципы о защите исследователей безопасности. По логике документа, суровые наказания за незаконный взлом не должны применяться к гражданину, который озабочен общественной безопасностью и производит взлом в общественных интересах, пытаясь поступить правильно. Но этот вопрос остаётся на рассмотрение суда. Если же хакер хочет гарантированную юридическую защиту от судебного преследования — он должен подписать NDA, иначе ему грозит тюремное заключение сроком на десять лет и более в соответствии с Законом о компьютерном мошенничестве и злоупотреблениях (Computer Fraud and Abuse Act, CFAA). Именно так следует понимать приватные баг-баунти.
Например, взять PayPal. На официальном сайте указано, что каждый исследователь обязан создать аккаунт HackerOne и согласиться с условиями их приватной программы баг-баунти, включая NDA. Если вы сообщаете о баге каким-либо другим способом, PayPal отказывается гарантировать вашу безопасность и не исключает подачу иска.
То есть вы можете сообщить об уязвимости только подписав NDA, и никак иначе. «Предоставляя заявку или соглашаясь с условиями программы, вы соглашаетесь с тем, что не можете публично раскрывать свои выводы или содержание вашей заявки третьим лицам каким-либо образом без предварительного письменного согласия PayPal», — написано в документе.
Аналогичные приватные программы с NDA действуют и у других компаний, которые выплачивают вознаграждения через HackerOne.
Это неприемлемо, с точки зрения Фонда электронных рубежей: «EFF твёрдо верит, что исследователи безопасности по Первой поправке [к Конституции США] имеют право сообщать о своих исследованиях, и что раскрытие уязвимостей является очень полезным», — говорит Эндрю Крокер, старший юрист Фонда электронных рубежей. По его словам, многие ведущие исследователи безопасности отказываются работать на платформах баг-баунти из-за необходимости подписывать NDA.
Например, такую позицию занял Тэвис Орманди, авторитетный хакер из проекта Google Project Zero. Тэвис отказывается подписывать NDA, предпочитая электронную почту: «Они могут не читать мои отчёты, если не хотят», — говорит он. Таймер на 90 дней всё равно тикает.
Тэвис Орманди — не единственный исследователь безопасности, который отказывается надевать намордник, пишет CSO.
В конце концов, существование NDA не соответствует стандартам ISO 29147 и ISO 30111, которые определяют лучшие практики по приёму отчётов об уязвимостях, исправлению этих ошибок и публикации рекомендаций. Кэти Муссури является соавтором этих стандартов и уверяет, что приватные баг-баунти по определению не могут соответствовать этим стандартам, которые описывают для компании правила приёма и обработки информации: «Когда неразглашение является обязательным условием или условием сообщения об ошибках через платформу баг-баунти, это принципиально нарушает процесс раскрытия уязвимостей, описанный в стандарте ISO 29147, — говорит Муссури. — Цель стандарта состоит в том, чтобы обеспечить возможность поступления отчётов об уязвимости и [её выделение] выпуска рекомендаций для затронутых сторон».
Теория за раскрытие уязвимостей утверждает, что краткосрочный риск, вызванный публичным раскрытием информации, перевешивается более долгосрочными выгодами от исправления уязвимостей, лучшего информирования пользователей и системных улучшений защиты.
К сожалению, платформы типа HackerOne не следуют этим принципам. В своём блоге, в статье «Пять критических компонентов политики раскрытия уязвимостей HackerOne объясняет клиентам, как заткнуть рот исследователям безопасности. В частности, рекомендуется не указывать срок, после которого исследователям позволено публично сообщать о своей работе:
По мнению Муссури, зрелые организации могут и должны принять собственные программы раскрытия уязвимостей. Если они готовы к лавине сомнительных сообщений об ошибках, то могут по желанию установить вознаграждение баг-баунти, но посредники в лице HackerOne мало чем полезны: «Я сказала им перед уходом, — говорит Муссури, — если вы, ребята, можете упростить коммуникации между исследователями и вендорами, это хорошо. Но если пытаетесь продать контроль, то занимаетесь не тем».
🧨 Bug Bounty: как заработать на взломе
Vlada Korzun
Bug Bounty – программа вознаграждения, по которой исследователи (хакеры) ищут пробелы в цифровой безопасности компании. Когда заказчик решает воспользоваться услугами взломщиков, разрабатывается специальный документ – программа Bug Bounty. Иногда она зашивается в другие документы по безопасности. Там описываются условия, с учетом которых можно отправляться на поиски багов.
Если хакер первым находит проблему и высылает понятный и правильно оформленный отчет, он получает вознаграждение. Вознаграждение – не всегда деньги, поэтому внимательно читайте политики (программы), если вы планируете зарабатывать таким способом. В Bug Bounty хакеры идут не только за материальной наградой. Некоторые ищут опыт, зарабатывают репутацию, а также решают захватывающие задачи с сервисами и продуктами, которые их больше всего интересуют.
В свою очередь для компаний Bug Bounty – это шанс избежать многомиллионных затрат и репутационного ущерба в случае реального взлома.
Важно! Не путайте программы Bug Bounty с пентестом. Во втором случае заключается контракт с заведомо квалифицированным сотрудником, у которого есть четкие дедлайны. Оплата идет за время, а не за нахождение уязвимостей.
Программы Bug Bounty
Программы бывают публичными и приватными. Первые доступны всем, хотя иногда можно наткнуться на требования к опыту и предыдущим результатам. В приватные программы компания сама отбирает подходящих ей специалистов. Если вас пригласили в приватную программу, количество конкурентов существенно меньше, а потому шансы заработать выше.
Обычно заказчики начинают с приватных программ. Когда они уже в состоянии обработать большое количество отчетов, некоторые переходят в публичный формат. В свою очередь хакеры, у которых не было опыта в Bug Bounty, начинают с публичных программ, чтобы собрать портфолио и заслужить хорошую репутацию.
Программы размещаются на собственных сайтах заказчиков и в специальных платформах (подробнее о них – ниже). Многие компании создают такие программы, поэтому если вам хочется исследовать какую-то определенную организацию, стоит поискать информацию о Bug Bounty в ее документации по безопасности.
Платформы для взаимодействия хакеров и компаний
Чтобы компаниям было проще находить исследователей, а исследователям – интересующие программы Bug Bounty, существует много специальных платформ. Там происходит общение, туда хакеры присылают отчеты, а компании платят через эти системы вознаграждения.
Чтобы вас пригласили на привлекательные приватные программы, нужны хорошие показатели. В HackerOne такой показатель – репутация, которая начисляется в формате очков в зависимости от размера вознаграждения и критичности уязвимости. В то же время репутация может снижаться, если вы посылаете плохие отчеты или спам.
В разделе «Hacktivity» можно изучить последние найденные уязвимости. В профилях компаний еще есть раздел «Thanks» – что-то вроде доски почета.
2. Bugcrowd – достаточно популярная платформа, которая используется рядом известных компаний. У них есть таксономия серьезности уязвимостей, по которой оценивается работа хакеров и назначается вознаграждение. Компаниям не нужно отдельно прописывать в политиках, какие уязвимости к какому уровню серьезности относятся.
Образовательные программы здесь скорее для тех, у кого уже есть база по кибербезопасности. Они знакомят хакеров с особенностями работы с Bug Bounty. Уроки состоят из видео, презетаций и лабораторий для ДЗ.
В профилях организаций есть раздел с объявлениями («announcements»), где публикуются апдейты по разным вопросам. Те хакеры, которые отправили хотя бы один релевантный отчет по этой программе, публикуются в разделе «Hall of fame».
За хорошие отчеты дают очки. Еще есть значки за достижения, прямо как в игре.
Значки зарабатываются по уровням, с накоплением количества отправленных отчетов и найденных уязвимостей.
Какими бывают условия
В своих программах Bug Bounty большинство компаний указывают:
Примеры условий Bug Bounty от известных компаний
У них приватная программа, но можно исследовать и посылать отчеты, которые одобрят или нет. Запрещено использовать инструменты автоматизированного сканирования и тестировать DoS-атаки.