Bug Bounty — это программа, в рамках которой компании платят людям за обнаружение уязвимостей и багов в их софте, сервисах, веб-сайтах или инфраструктуре.
Участников баг баунти называют «белыми хакерами» или «багхантерами». В обмен на сообщения об уязвимостях они получают вознаграждение, размер которого зависит от серьезности найденного бага и его потенциального влияния.
Багхантеры приобретают известность и уважение в индустрии за свой вклад в улучшение защиты данных и систем. Кроме того, баг-баунти — это возможность получить интересный оффер на работу.
Рассказываем, как развивалась практика Bug Bounty, где искать такие проекты и какие скилы нужны белому хакеру.
История развития Bug Bounty
Первый известный пример вознаграждения за обнаружение уязвимостей в безопасности — «замо́к Брама». В конце 18 века компания Bramah and Co., основанная Джозефом Брама, разработала замок, который считался сложным для взлома благодаря уникальной конструкции, которая использовала цилиндрический механизм.
Джозеф Брама был уверен в надежности изобретения, поэтому в 1790 году выставил на витрине своего магазина в Лондоне замок с предложением награды в 200 гиней тому, кто сможет его вскрыть. Эта сумма в то время была достаточно значительной.
Множество мастеров безуспешно пытались взломать его, и только в 1851 году американский мастер-замочник Альфред Чарльз Хоббс смог вскрыть замок Брама во время Великой выставки в Лондоне. Интерес к этому вызову значительно повлиял на индустрию замков и безопасности, подтолкнув разработку новых технологий и методов защиты.
В сфере IT первая современная программа Bug Bounty была запущена 140 лет спустя, в 1995 году. Компания Netscape предложила денежные вознаграждения разработчикам, которые найдут и представят ошибки безопасности в браузере Netscape Navigator 2.0.
Этот подход переняли с годами крупные компании, среди которых Mozilla, Google, Microsoft, Facebook, Yahoo и другие.
Вот несколько примеров:
- В 2004 году Mozilla запустила программу и предложила вознаграждение от $500 за критические уязвимости, влияющие на безопасность браузера. В 2010 году компания увеличила размер вознаграждения до $3000 за критическую уязвимость. Программа действует до сих пор.
- В 2013 году белый хакер получил $33,000 за обнаружение критической уязвимости в серверной инфраструктуре Facebook. Эта награда стала одной из самых крупных в истории программы Bug Bounty Facebook.
- В 2015 году Кемил Хисматуллин обнаружил уязвимость в YouTube, которая позволяла удалять любые видео на платформе. Google признала это значительным вкладом в безопасность их сервисов и выплатила специалисту $5000.
Как работает Bug Bounty
Программы Bug Bounty часто дополняют регулярное тестирование на проникновение и помогают организациям проверять безопасность своих систем на протяжении всего жизненного цикла разработки.
Разумеется, у корпораций есть собственная команда по безопасности, но крупные компании постоянно разрабатывают и запускают множество продуктов. При таком количестве задач возможностей штатной команды по кибербезопасности перестает хватать — здесь на помощь приходит Bug Bounty.
Организации используют две основные модели для своих программ вознаграждения за обнаруженные ошибки: внутреннюю и платформенную.
Внутренние программы
Это программы, которые сами компании размещают у себя на сайте.
В этом случае работа строится следующим образом:
- Компания объявляет о запуске Bug Bounty с описанием всех деталей: области, подлежащие тестированию, типы уязвимостей, которые их интересуют, и вознаграждения за каждый найденный баг.
- Исследователи безопасности регистрируются и начинают тестировать программное обеспечение или веб-сайт на наличие уязвимостей, соблюдая правила программы.
- Когда хакер обнаруживает ошибку, он заполняет отчет о раскрытии информации, в котором подробно описывается, что это за ошибка, как она влияет на приложение и какой уровень серьезности она имеет. Хакер включает ключевые шаги и детали, которые помогут разработчикам воспроизвести и проверить ошибку.
- Компания проверяет сообщение, оценивает серьезность уязвимости и работает над исправлением ошибки.
- Затем разработчики компании проводят повторное тестирование, чтобы подтвердить устранение проблемы.
- После этого исследователь получает вознаграждение. Сумма может варьироваться в зависимости от серьезности уязвимости и политики компании.