Баг баунти что это
Что такое баг-баунти платформы и как они работают?
Что такое баг-баунти платформа?
Перед тем как мы расскажем об этом, необходимо объяснить что такое баг-баунти программа.
Однако, на практике, далеко не каждая компания может позволить себе провести баг-баунти программу самостоятельно.
Почему? Потому что большинство компаний к этому не готовы:
Большинство компаний не обладает достаточным опытом и квалификацией для того, чтобы качественно провести собственную баг-баунти программу.
Поэтому, компании прибегают к помощи так называемых баг-баунти платформ, таких как HackenProof. Это компании, которые специализируются на проведении баг-баунти программ.
Что из себя представляет баг-баунти платформа?
Любая баг-баунти платформа имеет три составляющие:
Как проходит процесс баг баунти программы?
Шаги 4-5-6 повторяются по кругу. Большие компании могут проводить баг-баунти программы месяцами, а иногда даже годами. Количество багов найденных в одной баг баунти программе может варьироваться от единиц до сотен.
Ну ок, хорошо, баг-баунти программы это инновационный подход, а баг-баунти платформы помогают компаниям эффективно проводить баг-баунти программы.
В чем тогда преимущество баг-баунти платформы над обычной компанией, которая предоставляет услуги по кибербезопасности, и “где тут гешефт”?
Баг-баунти платформы имеют несколько ключевых преимуществ:
Стандартная компания по предоставлению услуг по кибербезопасности, имеет в своем распоряжении в среднем 5-20 сотрудников которые будут тестировать ваш софт. В то время как на баг-баунти платформе зарегистрированы сотни или даже тысячи специалистов, которые специализируются на разных сферах (веб, мобайл, блокчейн протоколы, платежные системы, смарт контракты и т.д.). Баг-баунти платформы имеют доступ к гораздо большему человеческому капиталу чем стандартные компании по предоставлению услуг по кибербезопасности. Это своего рода “аутсорс” услуг по кибербезопасности на весь мир.
Тест на проникновение обычно длится около месяца или двух, в то время как баг-баунти программа длится месяцами или даже годами (и все это время ресерчеры будут активно пытаться найти уязвимости в вашем продукте). При таком длительном тестировании, вероятность того что уязвимость не заметят значительно снижается.
Стандартная компания по предоставлению услуг по кибербезопасности, получает вознаграждение за процесс (проведению теста на проникновение). Клиент заплатит вне зависимости от того сколько багов найдет компания. В то время как баг-баунти программа вознаграждает белых хакеров за подтвержденные баги. То есть система вознаграждения делает акцент именно на количество уязвимостей, а не на сам процесс.
Наш мир становится все более и более “диджитализированным”, продукты более сложными. Компании все больше и больше используют онлайн сервисы для своей работы. Каждый из них обновляясь, может содержать в себе уязвимости, которые хакеры могут использовать и нанести большой вред компаниям.
Мы должны поменять свое мировоззрение и принять тот факт, что защита от кибер угроз больше не может быть дискретной (проверка софта на уязвимости время от времени), она должна стать постоянной (постоянная проверка софта на уязвимости). Только так компании могут эффективно защититься от хакеров.
Да, вы правы, баг баунти программы не заменяют, а дополняют пентесты/аудиты. Я не хотел дать понять, что баг-баунти могут полностью заменить пентесты, хотя некоторые компании следуют такой моделе. Конечно, вы правы, что хакеры должны быть адекватно мотивированы, чтобы искать баги и это действительно тема для отдельной дискуссии. Спасибо, что поделились вашим опытом!
Не знаю, насколько уместно здесь оставлять ссылки, но если кто-то заинтересуется, вэлком ту телеграм @everitokenru
Комиссия считает, что после сделки Nvidia будет контролировать нужные конкурентам технологиями, повысит цены и сократит предложение на рынке.
Как начать заниматься Bug Bounty
Друзья, в этом месяце Otus запускает набор на новый курс — «Безопасность приложений». В преддверии старта курса традиционно подготовили для вас перевод полезного материала.
Как начать заниматься Bug Bounty? Этот вопрос весьма распространенный, и я продолжаю получать его в сообщениях день ото дня. Я не могу ответить на каждое сообщение, поэтому решил написать статью и отправлять всех новичков читать ее.
Я занимаюсь Bug Bounty уже пять лет. Тем не менее, есть множество вещей, которых я не знаю, да и сам я не эксперт, поэтому прошу не считать эту статью советом от эксперта. Я просто поделюсь тем, чего достиг за последние 5 лет, совершенствуя свои навыки день ото дня.
Введение
Я видел множество людей в Bug Bounty сообществе, говорящих: «я не технарь, поэтому у меня не очень хорошо получается заниматься Bug Bounty».
На самом деле это заблуждение, что быть хорошим специалистом в Bug Bounty может только кто-то из компьютерной сферы. Если вы знакомы с информатикой, это, безусловно поможет, но это не обязательно, вы можете вполне изучить основы самостоятельно. Однако, если у вас нет технического бэкграунда, заниматься bug bounty стоит только в том случае, если вы больше заинтересованы в изучении информационной безопасности, а не в зарабатывании денег.
По образованию я отношусь к области машиностроения, но интересовался информационной безопасностью со школьной скамьи, однако пошел получать образование именно в машиностроении по совету семьи, но акцентировался я всегда на информационной безопасности.
Я могу рассказать много историй о том, как люди из нетехнической сферы добиваются успеха в области информационной безопасности и bug bounty.
Однако у всех них были общие качества, а именно «интерес» и готовность заниматься «тяжелой работой».
Если вы думаете, что добьетесь успеха за одну ночь, за неделю или за месяц, то это не то, чем вам следует заняться. В bug bounty очень большая конкуренция, ведь хорошая «охота на баг» может занять целый год. Вам следует постоянно продолжать обучение, обмениваться опытом и практиковаться. Вас должно преследовать любопытство, вы должны стремиться узнать что-то новое и исследовать эту область самостоятельно. Сейчас есть очень большое количество бесплатного образовательного контента.
Не платите людям, которые говорят, что сделают из вас специалиста в bug bounty за одну ночь. Большинство из них – мошенники.
Ниже приведены вещи, которые вы должны знать, прежде чем начать заниматься информационной безопасностью.
Никто не сможет рассказать вам все об этой области, изучение – это долгий путь, который вы должны пройти в одиночку, пользуясь помощью других людей.
«Не жди, что тебе принесут все на тарелочке с голубой каемочкой.»
Как задавать вопросы?
Задавая кому-либо технический вопрос, делайте это со всей ответственностью.
Вы не должны задавать вопросы вида: «Вот конечная точка, не мог бы ты за меня обойти фильтр XSS?»
Вы должны задавать вопросы по существу – только и всего.
А еще не ждите, что люди смогут дать ответ на ваш вопрос в течение нескольких минут. Они ответят, как только у них появится свободное время, либо же вам могут вообще не ответить из-за своего плотного графика или по какой-то другой причине. Подходите уважительно к консультациям – не пингуйте кого не нужно.
Как найти ответы на все свои вопросы?
Что ж, я делал так раньше, делаю сейчас и буду делать в будущем. Я использую Google. (вы можете использовать и другие поисковики: Р)
Базовые технические навыки для начинающего
Я предполагаю, что у вас есть базовое понимание того, как работает все в интернете. Есть множество вещей, которые вам нужно изучить, но я не могу указать их здесь все. Я перечислю лишь несколько важных тем, а остальное вы узнаете сами.
Получить базовые навыки HTML, PHP, Javascript – Это лишь начало, поскольку список никогда не закончится, да и зависит он от ваших личных интересов. Вы так или иначе формируете интерес в соответствии со своими потребностями.
Также очень важно получить представление о различных типах уязвимостей как можно быстрее. Для этого я добавил раздел «Основы безопасности веб-приложений».
Выбор пути
Выбрать правильный путь в сфере bug bounty очень важно, и он будет полностью зависеть от ваших интересов, однако многие ребята выбирают для себя начинать с веб-приложений, да и сам я считаю, что этот путь самый простой.
Однако не ограничивайтесь этими двумя пунктами. Повторюсь, здесь дело интереса.
Начните с 2010 года, чтобы понять какие уязвимости оказались в топе в том году, проследите что стало с ними в 2017 году. Вы осознаете это изучая их и практикуя.
Вам не нужно осваивать это руководство по тестированию и сразу отправляться работать, работать начинать нужно над живыми (легальными) целями, ведь это единственный способ улучшить свои навыки.
Тестирование безопасности мобильных приложений
Как только вы получите больше опыта, вы сможете свободно переключаться между сферами, которые вам больше нравятся.
Есть одна остановка, которую нужно сделать на пути к безопасности мобильных приложений:
Книги, к которым я периодически обращаюсь
Каналы и плейлисты на Youtube
Конференции, которые вам стоит посмотреть
Akhil George — создал плейлист посвящённый bug bounty на Youtube.
info@bugbounty.ru
Правила участия
Для участия в программе необходимо придерживаться установленных правил.
Раскрытие
Не распространять информацию о найденной уязвимости до ее исправления.
Запрещено
Использовать деструктивные/агресивные проверки, причинять вред сервисам и пользователям; использовать физический доступ или социальную инженерию.
Отчетность
Отчет должен содержать подробное описание обнаруженной уязвимости, краткие шаги по ее устранению или работающую концепцию ее исправления.
Учетные записи
Используйте только личные или предоставленные аккаунты, адреса email, телефоны.
Личные данные
Ответственность
Любая попытка получить вознаграждение, деньги или услуги путем принуждения не допускается и может быть признана уголовным преступлением.
Для бизнеса
Вы покупаете только реальные уязвимости. Время, количество и вариативность проверок ничем не ограничена.
Для багхантеров
Оттачивайте свои навыки легально и получайте достойное вознаграждение. Помогите сделать кибермир безопаснее.
Отзывы
«С помощью сервиса удалось достучаться до вендора, получить CVE и вознаграждение. Будем сотрудничать дальше!»
Александр С., багхантер.
«Благодарим за плодотворное сотрудничество в области информационной безопасности. С вашей помощью наши продукты остаются надежными и защищенными для наших клиентов.»
«С вашей помощью семейные истории сотен тысяч людей в России и за рубежом остаются под надежной защитой.»
Лапенков С., «Бессмертный полк».
Часто задаваемые вопросы
# Отчетность
# Сколько платят?
Выплата и размер вознаграждения зависит от конечной программы. Социально значимые, государственные и образовательные ресурсы могут пользоваться нашим сервисом безвозмездно, вознаграждение остается на усмотрение этих организаций или сервиса Bug Bounty Ru. Возможно это будет какой-то мерч или просто слова благодарности, не все в этом мире меряется деньгами.
# Как проверяется отчет?
По согласоввнию с заказчиком отчет проверяется аналитиками безопасности. В спорных моментах стороны всегда могут привлечь Арбитра из состава участников проекта.
# Почему нам стоит доверять?
В нашей команде признанные эксперты практической ИБ. Мы российский сервис, и не планируем менять дислокацию и юрисдикцию. Опционально задействуем рамочный NDA между исследователем, сервисов и конечным заказчиком.
Не знаете кому сдать багу? Боитесь ответственности?
Обладая широкими связями в российском ИБ комьюнити, поможем найти вендора или владельца ресурса.
Контакты
Хотите начать хантить? Запускаете новый проект и удостовериться в его безопасности? Не можете найти контакт ответственного лица?
Bug Bounty: заработай на чужих ошибках
В этой статье я расскажу о Bug Bounty программах, их плюсах и минусах, а также как на этом зарабатывают.
В первую очередь давайте определим что такое Bug Bounty: программа выплата награды за обнаружение проблем в безопасности сервисов и приложений компании. На русский язык уместнее всего это переводится как «Охота за ошибками».
Т.е. это некий свод правил «взаимодействия» с информационными ресурсами компании. Обычно в него входит регламент проведения программы, перечень ресурсов, описание принимаемых уязвимостей, размеры вознаграждения. В классическом исполнении это описание того, что можно «ломать» и сколько багхантер получит за ту или иную уязвимость.
Так выглядит Bug Bounty снаружи. Что это дает компании? В первую очередь непрерывный процесс «проверки на прочность»: специалисты с различным уровнем знаний, инструментарием и часовыми поясами в режиме нон-стоп атакуют ресурсы компании. Со стороны компании задействованы ресурсы на:
Bug Bounty плюсы и минусы
Теперь остановимся на плюсах и минусах Bug Bounty программ.
Очевидными плюсами будет:
Очевидными минусами будет:
Зачастую многие багхантеры, участвующие в программах Bug Bounty ограничиваются своими «коронными» фишками, и не исследуют что-то другое, либо наоборот, ставят под сканеры все подряд в надежде уловить хоть что-то. Это дает разноплановый, но не полный подход к тестированию. Также, огромное количество фолс срабатываний сканеров может завалить команду разработчиков ненужной работой (это и дополнительные проверки и отклики по каждому репорту — которых может быть очень много).
Открытые программы
Большинство компаний представлено на площадках — агрегаторах, таких как HackerOne или BugCrowd.
Многие российские компании открыли как собственные программы, так и профили на HackerOne. Среди них такие компании, как: Яндекс, Майл.ру, QiWi, Вконтакте и многие другие. Да что говорить, если даже у Пентагона есть своя программа Bug Bounty. (Взломать Пентагон, получить деньги и остаться на свободе — похоже на мечту хакера, но уже суровая реальность).
Вот, например, оценка стоимости обнаруженных уязвимостей в программе «Охота за ошибками» — Яндекс:
Наиболее «дорогие ошибки»
Выявление известной уязвимости:
Россиянин обнаружил в программном обеспечении соцсети ошибку, которая с помощью специальной картинки позволяла запускать на ее серверах произвольный код. Для этого необходимо было воспользоваться уязвимостью в сервисе ImageMagick, предназначенном для быстрого масштабирования и конвертации изображений в новостной ленте Facebook, сообщает Лента.ру. Леонов случайно наткнулся на ошибку во время тестирования стороннего сервиса, изучил ее и представил всю необходимую информацию техническим службам Facebook, которые устранили уязвимость в ноябре 2016 года. В итоге соцсеть выплатила хакеру вознаграждение в 40 тысяч долларов. В 2014 году рекордную сумму в 33,5 тысяч долларов получил от Facebook специалист по кибербезопасности Реджинальдо Сильва.
Хочу участвовать, что надо делать?
Для тех, кто решил попробовать свои силы и возможности в поиске ошибок могу посоветовать несколько основных этапов, которые приведут к победе:
Следите за новостями. Обновился скоп программы — бегом проверять новые сервисы. Производитель добавил новый функционал, расширил старый или интегрировал сторонний сервис? — большая возможность, особенно в сложной инфраструктуре допустить ошибку.
Упорство. Скрупулезное исследование, не упускать никаких деталей. Хорошая практика будет периодически сравнивать результаты прошлых проверок с текущем состоянием системы.
Поиск. Ищите и обрящете. Большинство крупных багов находят на «не публичных» поддоменах и директориях. Здесь вам пригодятся инструменты по выявлению поддоменов и хорошие листы словарей для брута директорий и поддоменов.
Исследование. Отложите автоматические сканеры, просеивайте веб-приложение (а большинство Bug Bounty связано именно с вебом) как песок сквозь сито для поиска крупинок золота. Здесь я рекомендую использовать Burp Suite или Owasp Zap — лучше инструментов нет. Почти все крупные победы в баутни — результат работы с этими инструментами (практически на любом публичном репорте можно это увидеть).
Исследуйте. Скачайте приложение для локального исследования, если это возможно. Читайте отчеты других участников — это может дать пищу для ума. Тот же взлом фейсбука — многие российские багхантеры видели этот поддомен, даже пытались с ним что-то делать — но «не докрутили». Хорошим подспорьем для этого будет ресурс: The unofficial HackerOne disclosure Timeline
Фирмы используют баг-баунти, чтобы купить молчание хакеров
Платформы баг-баунти — HackerOne, Bugcrowd и Synack — служат посредниками между белыми хакерами и компаниями, которые хотят улучшить безопасность своих продуктов. При правильном использовании логика простая:
Процедура раскрытия уязвимостей
Процедура раскрытия уязвимостей (vulnerability disclosure program, VDP) — практически обязательное требование для многих фирм. Например, Федеральная торговая комиссия США рекомендует компаниям принять такие процедуры и штрафует за плохие практики безопасности. Министерство внутренней безопасности в прошлом году приказало всем гражданским федеральным агентствам внедрить процедуры раскрытия уязвимостей.
Однако для любого агентства или компании VDP представляет собой огромную головную боль. Процедура выглядит так: исследователи безопасности сообщают вам о баге и дают максимум 90 дней, чтобы исправить его. Когда время истекает — они звонят какому-нибудь своему любимому журналисту и публикуют полную информацию об уязвимости в твиттере, а также выступают на конференции Black Hat или DEF CON, если это действительно сочный баг.
С одной стороны, процедура раскрытия уязвимостей обеспечивает определённый баланс между интересами компании, общества и самих исследователей безопасности, которые получают признание за свою работу. Однако существует ряд компаний, которые могут быть озабочены ценой своих акций и/или репутацией, так что они предпочтут заплатить деньги, чтобы избавиться от необходимости отчитываться перед общественностью.
Платформы баг-баунти предлагают организациям заманчивую альтернативу. Исследователи сообщают об уязвимостях в рамках соглашений о неразглашении (NDA). Им буквально платят за молчание. Затем компания делает что хочет. Может, исправит эти баги, о которых вы сообщили, если захочет. А может, и не исправит, но вам запрещено об этом говорить.
Молчание — это товар
Молчание — это товар. И похоже на то, что этот товар востребован на рынке. Спрос рождает предложение. Поэтому платформы баг-баунти развернули свою деятельность таким образом, чтобы предложить покупателям то, за что они готовы платить.
Бывший директор по политике HackerOne Кэти Муссури считает, что корень проблемы — в коммерциализации платформ баг-баунти, которые стремятся к экспоненциальному росту. Например, руководство HackerOne поставило цель собрать у себя на платформе 1 000 000 хакеров. Для них важно привлечь к выплате вознаграждений как можно больше компаний любого размера, на любых условиях.
Кэти Муссури, бывший директор по политике HackerOne, основатель Luta Security
«Эти коммерческие платформы для поиска уязвимостей… извращают всю экосистему, и я хочу, чтобы это прекратилось, даже если сама поплачусь за это, — говорит Муссури. Будучи одним из руководителей HackerOne, она получила опцион акций и может рассчитывать на щедрое вознаграждение в случае успешного публичного размещения акций HackerOne. — Я обращаюсь к вам вопреки своей личной финансовой выгоде».
Другие независимые эксперты согласны, что секретность вредит информационной безопасности: «Вознаграждения лучше всего делать прозрачными и открытыми. Чем больше вы пытаетесь засекретить их и принять NDA, тем менее эффективными они становятся, тем больше речь идёт о маркетинге, а не о безопасности», — говорит Роберт Грэм из Errata Security.
С ним согласен Джонатан Лейтшух, который в прошлом году разгласил катастрофическую уязвимость в программе видеоконференций Zoom (установка веб-сервера на локалхосте без ведома пользователя с удалённым выполнением команд).
Простой эксплоит, когда Zoom стоит на локалхосте:
Активация веб-камеры без разрешения пользователя:
Джонатан Лейтшух уведомил компанию 26 марта 2019 года, но она не исправила уязвимость, поэтому ровно через 90 дней хакер опубликовал статью с описанием в открытом доступе. Информация широко разошлась и наделала шуму. После этого компания мгновенно выпустила патч.
This new @zoom_us feature fully patches the #SecurityVulnerability where users were maliciously joined to a call without their permission.
Doing this in a week is an example the kind of fast response times we want to see in a properly executed bug bounty program!
Но хакер не получил вознаграждения. «Это одна из проблемы с платформами баг-баунти в том виде, в каком они существуют прямо сейчас. Они позволяют компаниям избежать 90-дневного срока на раскрытие информации, — говорит он. — Многие из этих программ строят свой бизнес на этой идее неразглашения. В конечном итоге создаётся впечатление, что они пытаются купить молчание исследователя».
Приватные баг-баунти
Соглашения о неразглашении платформ типа HackerOne запрещают даже упоминать о существовании приватных программ баг-баунти. Одного твита вроде «У компании X есть приватная программа в Bugcrowd» достаточно, чтобы хакера выгнали с платформы.
Хакеров заставляют молчать кнутом и пряником. Где пряник понятно, это — деньги. Но есть и кнут: за нарушение соглашения NDA исследователя могут привлечь к ответственности, вплоть до уголовного преследования. Такая же ответственность теоретически угрожает хакерам, которые на свой страх и риск публикуют информацию об уязвимостях, не заключая никаких соглашений с компанией, а просто руководствуясь общепринятыми принципами хакерской этики и сроком давности 90 дней с момента уведомления компании.
В 2017 году Министерство юстиции США опубликовало руководящие принципы о защите исследователей безопасности. По логике документа, суровые наказания за незаконный взлом не должны применяться к гражданину, который озабочен общественной безопасностью и производит взлом в общественных интересах, пытаясь поступить правильно. Но этот вопрос остаётся на рассмотрение суда. Если же хакер хочет гарантированную юридическую защиту от судебного преследования — он должен подписать NDA, иначе ему грозит тюремное заключение сроком на десять лет и более в соответствии с Законом о компьютерном мошенничестве и злоупотреблениях (Computer Fraud and Abuse Act, CFAA). Именно так следует понимать приватные баг-баунти.
Например, взять PayPal. На официальном сайте указано, что каждый исследователь обязан создать аккаунт HackerOne и согласиться с условиями их приватной программы баг-баунти, включая NDA. Если вы сообщаете о баге каким-либо другим способом, PayPal отказывается гарантировать вашу безопасность и не исключает подачу иска.
То есть вы можете сообщить об уязвимости только подписав NDA, и никак иначе. «Предоставляя заявку или соглашаясь с условиями программы, вы соглашаетесь с тем, что не можете публично раскрывать свои выводы или содержание вашей заявки третьим лицам каким-либо образом без предварительного письменного согласия PayPal», — написано в документе.
Аналогичные приватные программы с NDA действуют и у других компаний, которые выплачивают вознаграждения через HackerOne.
Это неприемлемо, с точки зрения Фонда электронных рубежей: «EFF твёрдо верит, что исследователи безопасности по Первой поправке [к Конституции США] имеют право сообщать о своих исследованиях, и что раскрытие уязвимостей является очень полезным», — говорит Эндрю Крокер, старший юрист Фонда электронных рубежей. По его словам, многие ведущие исследователи безопасности отказываются работать на платформах баг-баунти из-за необходимости подписывать NDA.
Например, такую позицию занял Тэвис Орманди, авторитетный хакер из проекта Google Project Zero. Тэвис отказывается подписывать NDA, предпочитая электронную почту: «Они могут не читать мои отчёты, если не хотят», — говорит он. Таймер на 90 дней всё равно тикает.
Тэвис Орманди — не единственный исследователь безопасности, который отказывается надевать намордник, пишет CSO.
В конце концов, существование NDA не соответствует стандартам ISO 29147 и ISO 30111, которые определяют лучшие практики по приёму отчётов об уязвимостях, исправлению этих ошибок и публикации рекомендаций. Кэти Муссури является соавтором этих стандартов и уверяет, что приватные баг-баунти по определению не могут соответствовать этим стандартам, которые описывают для компании правила приёма и обработки информации: «Когда неразглашение является обязательным условием или условием сообщения об ошибках через платформу баг-баунти, это принципиально нарушает процесс раскрытия уязвимостей, описанный в стандарте ISO 29147, — говорит Муссури. — Цель стандарта состоит в том, чтобы обеспечить возможность поступления отчётов об уязвимости и [её выделение] выпуска рекомендаций для затронутых сторон».
Теория за раскрытие уязвимостей утверждает, что краткосрочный риск, вызванный публичным раскрытием информации, перевешивается более долгосрочными выгодами от исправления уязвимостей, лучшего информирования пользователей и системных улучшений защиты.
К сожалению, платформы типа HackerOne не следуют этим принципам. В своём блоге, в статье «Пять критических компонентов политики раскрытия уязвимостей HackerOne объясняет клиентам, как заткнуть рот исследователям безопасности. В частности, рекомендуется не указывать срок, после которого исследователям позволено публично сообщать о своей работе:
По мнению Муссури, зрелые организации могут и должны принять собственные программы раскрытия уязвимостей. Если они готовы к лавине сомнительных сообщений об ошибках, то могут по желанию установить вознаграждение баг-баунти, но посредники в лице HackerOne мало чем полезны: «Я сказала им перед уходом, — говорит Муссури, — если вы, ребята, можете упростить коммуникации между исследователями и вендорами, это хорошо. Но если пытаетесь продать контроль, то занимаетесь не тем».