Компания Positive Technologies создала одну из первых в России Bug Bounty-платформ The Standoff 365 - с ее помощью российские компании смогут обращаться к пентестерам, так называемым "белым" хакерам, которые занимаются взломом продуктов ради повышения их защищенности. В интервью "Газете.Ru" руководитель платформы Ярослав Бабин рассказал, почему такие хакеры находят уязвимости лучше, чем ИБ-компании, могут ли они нанести вред в рамках Bug Bounty, каковы правила платформы и что будет, если их нарушить.
- Почему вы решили создать в России платформу Bug Bounty? Что мешает как раньше обращаться за проверкой кода программ, приложений, сайтов к ИБ-компаниям вроде вашей?
- Мы считаем, что самую лучшую проверку защищенности компании могут обеспечить только хакеры. Платформа как раз для того и нужна, чтобы клиент мог получить доступ к огромной выборке независимых специалистов, "белых" хакеров. Мы увидели недостатки платформ с классическим подходом, где главная задача исследователей – находить уязвимости. Мы переосмыслили этот формат и сделали новый — формат реализации недопустимых событий, когда хакеру нужно развить атаку и показать, насколько критична она может быть для системы.
Специалистов в области пентеста с нужным уровнем опыта не много. ИБ-компания – это 10, 20 или 50 пентестеров. А на платформе Bug Bounty их в разы больше. К тому же Bug Bounty – это огромное комьюнити, у участников которого в сумме больше навыков, чем у команды ИБ-компании.
Даже слаженная и собранная команда пентестеров, пожалуй, не сможет дать такой ротации взглядов, техник и идей, которую обеспечивает массированный хакерский трафик — в случае с Bug Bounty работать будут исследователи с разной специализацией, предпочтениями, опытом — это даст возможность поиска большего типа и числа уязвимостей.
Например, вы как клиент хотите проверить свое мобильное приложение на наличие уязвимостей. Сколько таких узкоспециализированных исследователей найдется у ИБ-компании? Ну два, три… А если позвать хакеров через Bug Bounty, их придет намного больше. Следовательно, и уязвимостей будет найдено гораздо больше.
- Сколько, на ваш взгляд, в России таких хакеров?
- По нашей оценке, хороших специалистов, которые уже участвовали в других программах Bug Bounty и понимают, что это такое, около 2 тысяч. Но, с учетом начинающих, таких хакеров наберется около 10 тыс. человек, которые в будущем станут такими же экспертами и пополнят ряды упомянутых выше 2 тыс. высококвалифицированных экспертов.
- Вы собираетесь привлекать "белых" хакеров из-за границы?
- Точно собираемся. И сейчас мы консультируемся с юристами и консультантами по финансам для определения возможных вариантов законного проведения оплаты.
- Каким образом вы будете определять, что хакер-иностранец действительно хочет помочь, а не добыть информацию об уязвимостях в РФ и передать ее правительству другой страны?
- Компанию могут взломать и без Bug Bounty. Но если она решила разместить свою программу, то должна принять на себя риск взлома в результате участия в Bug Bounty или после него.
Ведь пентестеры проверяют инфраструктуру, которая доступна для потенциального взлома всем желающим. То есть "черные" хакеры могут прийти и ровно так же, как и "белые" хакеры, взять и взломать инфраструктуру.
Разница только в том, что "белый" хакер, участник Bug Bounty, об обнаруженной уязвимости сообщит компании-клиенту, получит за это вознаграждение и будет гордиться проделанной работой. А "черный" хакер обнаруженную уязвимость продаст и может понести ответственность, так как совершенное деяние является преступлением.
- То есть, вы не знаете, кем в реальности являются хакеры, которые приходят на вашу платформу?
- Наша задача – информационное посредничество. Мы, как агрегатор, приводим хакеров, приводим клиентов и потом налаживаем между ними связь. При этом клиенты могут выдвинуть условия, на которые хакер либо соглашается, либо нет. Таким условием может быть и раскрытие личности пентестера. Это позволит, например, привлекать к программе только тех хакеров, которые прошли идентификацию. Но сама по себе идентификация участников не является ключевой задачей Bug Bounty-платформы.
- А как клиенты относятся к анонимности людей, которые их взламывают? Часто просят раскрыть личность хакера?
- На самом деле у нас большой запрос от бизнеса ввести идентификацию исследователей. Компании приходят и говорят: "Я очень боюсь за то, что об уязвимостях, которые в моей системе найдут, где-то расскажут". В таких случаях мы предлагаем им добавить в программу "белых" хакеров, которые прошли идентификацию. Но при этом оговариваем с клиентом, что на условиях публичности специалистов, которые отзовутся, будет значительно меньше, нежели на условиях анонимности. Хакеров, готовых работать публично, очень немного.
- Сколько примерно?
- Где-то 5% от обозначенного выше количества – это очень "скудная" доля.
Клиентам, которые хотят проверить свои инфраструктуру и ПО, но не согласны работать с хакерами на условиях анонимности, пожалуй, лучше обращаться за приватным пентестом к ИБ-компаниям, о чем мы говорили в самом начале.
- Бывает ли такое, что пентестеры нарушают правила Bug Bounty-платформ? Могут ли они, например, опубликовать информацию о найденной в инфраструктуре клиента уязвимости?
- Такие ситуации бывают, но их количество совсем небольшое, это, скорее, погрешность.
Когда хакер приходит на Bug Bounty-платформу, он понимает, зачем он это делает. Ему гораздо выгоднее работать с клиентом в доверительных отношениях, а не навредить.
Иногда клиент Bug Bounty может сказать: "У нас появится новый сервис, в котором можно искать уязвимости, но мы не хотели бы его афишировать". Следом он приглашает опробовать этот сервис избранных хакеров, - тех, кому он доверяет и знает, что они ответственно подойдут к раскрытию информации.
Хакер, который пришел в закрытый сервис первым, имеет больше шансов найти уязвимости и, следовательно, получить за нее награду.
- И все же, как вы будете наказывать хакеров за нарушения правил платформы?
- Это либо удаление хакера с платформы полностью, либо его отключение от программы конкретного клиента. Также мы будем понижать рейтинг специалистов-нарушителей и, возможно, даже лишать их обещанных выплат по согласованию с клиентом. Но эти случаи будут оговариваться отдельно.
- Система наказания провинившихся пентестеров на вашей платформе уже разработана?
- У нас нет какого-то свода конкретных действий на эти случаи, поскольку все они будут уникальными. Нам нужно будет пообщаться с клиентом, потом пообщаться с хакером. Если это возможно, понять, из-за чего возникла проблема: почему недоволен хакер или клиент. А потом, исходя из доводов с каждой стороны, принимать решение в чью-то пользу.
Мы будем на нашей платформе в роли арбитра, который удовлетворяет интересы как клиента, так и хакера.
- После 24 февраля крупнейшая в мире Bug Bounty-платформа HackerOne отказалась от сотрудничества с российскими хакерами и исключила из числа клиентов российские компании. Как хакеры восприняли это событие?
- Они остались без заработка. Я состою в разных чатах и вижу, что их участники ищут другие платформы, на которых нет ограничений по выплатам для граждан РФ. У нас в России публичных Bug Bounty-программ не так уж и много. "Яндекс", "Азбука вкуса", может быть, еще какие-то компании самостоятельно платят за обнаружение уязвимостей в своих продуктах. Но частные программы не сравнятся с платформой, где такие программы вознаграждений появляются регулярно.
- А как HackerOne вообще понимает, что на них выходит хакер из России?
- Для получения выплат от HackerOne хакеры прикрепляют к профилю реквизиты SWIFT-счетов. По ним можно понять, куда платежи уходят. Ну а компаний там не так уж и много было, чтобы не найти их на платформе и не понять, что они из России.
- Отлучение российских хакеров от HackerOne стало для вас поводом запустить свою Bug Bounty-платформу?
- Нет. Мы начали разработку проекта до этого и говорили о дате старта платформы еще на прошлом The Standoff в ноябре 2021 года. Это соответствует нашим идеям результативной кибербезопасности, и мы считаем, что проверка систем и IT-инфраструктур независимыми специалистами является конечным этапом проверки уровня эффективности ИБ.
- Когда обыватель представляет себе интерфейс Bug Bounty-платформы, то кажется, что там должны быть представлены страшные аватарки разных хакеров с баллами, отражающими "крутизну". Так и будет?
- Думаю, так и будет. Это субкультура, поэтому там то клоуны на аватарах появляются, то какие-то персонажи из мемов. Это забавно и круто.
Свежие комментарии