Заработать на поиске уязвимостей становится проще. К многочисленным международным и отечественным IT-компаниям, которые регулярно выплачивают премии исследователям программного обеспечения, присоединяется Российская Федерация. Согласно плану мероприятий по информационной безопасности программы «Цифровая экономика Российской Федерации», который был утвержден в конце декабря 2017 г. правительством страны, поиск «черных ходов» в ПО начинается в апреле текущего года. Работы по отечественной программе bug bounty будут вестись до конца 2020 г., исследователи получат премии и призы 500 млн руб. бюджетных и 300 млн руб. внебюджетных средств. За реализацию проекта отвечают Минкомсвязи, ФСБ и ФСТЭК, исполнителем назначен Центр компетенций по импортозамещению в сфере информационно-коммуникационных технологий.
КАК ЭТО БУДЕТ
Протестировать программное обеспечение отечественных и зарубежных производителей смогут как физические, так и юридические лица. Программа bug bounty предполагает две модели тестирования. В первом случае исследователям будет известен заказчик пентеста, который даст доступ к системе и предложит свою схему тестирования. Во втором случае тестирование будет производиться без ведома разработчика программного продукта.
Как рассказал в интервью газете «Ведомости» руководитель Центра компетенций по импортозамещению в сфере ИКТ Илья Массух, тесты пройдут рыночные IT-платформы, операционные системы, системы управления базами данных. Средства между этими двумя моделями будут распределяться в пропорции примерно 75 на 25. Системы массового потребления будут тестироваться всеми желающими. Часть работ по программе bug bounty будет доступна лишь для компаний, поскольку тестирование может потребовать доступа к инфраструктуре систем. Информация о найденных уязвимостях будет раскрываться после выхода патчей или оставаться доступной только разработчику и вендору системы. В случае отказа разработчика устранить найденную уязвимость возможен запрет использования такого ПО. По мнению опрошенных «Ведомостями» специалистов в области ИБ, сведения о найденных уязвимостях могут стать ценной информацией в руках заинтересованных ведомств. Внятных ответов от представителей Минкомсвязи и Сбербанка издание не получило.
По данным самого Плана мероприятия по направлению ИБ (программы «Цифровая экономика РФ»), поиск и исправление уязвимостей предполагается в разработанном отечественном программном и программно-аппаратном обеспечении в рамках повышения его надежности. Исследователи будут получать вознаграждения (гранты) за найденные уязвимости. Финансирование разработок будет осуществляться венчурными фондами, созданными для стимулирования разработки отечественного ПО и увеличения его доли в условиях цифровой экономики.
Выделение средств на поиск уязвимостей будет проводиться из расчета 100 млн (внебюджетное финансирование) в 2018 г., 200 млн (бюджет) и 100 млн (вне бюджета) в 2019 г. и по 200 млн из бюджетных и внебюджетных средств в 2020 г. Выдача денежных премий (призов) за найденные уязвимости в программном и программно-аппаратном обеспечении будет проводиться с апреля 2018 г. до 31 декабря 2020 г. Ответственные: Минкомсвязь, ФСБ, ФСТЭК, АНО «Центр компетенций по импортозамещению в сфере ИКТ» и АНО «Цифровая экономика».
Информации о том, кто из юридических лиц будет допущен к работе по программе и на каких условиях, найти не удалось. Сведений о том, сколько будет получать один тестер в случае обнаружения уязвимости, пока так же нет.
Дополнительно, с марта по июнь 2018 г. Фондом «Сколково» при участии Минкомсвязи, ФСТЭК и ФСБ России должен быть проведен «Комплексный анализ и оценка потенциальных уязвимостей, угроз и рисков информационной безопасности, характерных для систем, реализованных на технологиях облачных, туманных, квантовых, виртуальных, искусственного интеллекта и дополненной реальности, а также сравнительная оценка экономического эффекта от внедрения облачных, туманных, квантовых технологий, систем виртуальной и дополненной реальности и технологий искусственного интеллекта» и соответственно утвержден отчет. На эти цели из бюджета будет потрачено дополнительно 59 млн руб. Еще 50 млн уйдут на «проведение исследований по оценке уязвимости web-приложений, размещенных в российском сегменте сети «Интернет» (цитата по документу).
ИСТОКИ И РАЗВИТИЕ
История поиска уязвимостей в программном обеспечении началась примерно в 1995 г., когда выяснилось, что разработчики ПО компании Netscape Communications Corporation (США) самостоятельно ищут и исправляют ошибки в браузере Mosaic / Netscape / Mozilla. Тогда же, с подачи инженера Джарретта Ридлингера появился термин «bug bounty». На программу Netscape Bug Bounty Program было выделено $50 тыс., что некоторые руководители компании посчитали бесполезной тратой средств и времени. Однако программа полностью оправдала себя.
Сегодня программы bug bounty запущены во многих компаниях, среди них Mozilla, Facebook, Yahoo!, Google, Reddit, Square, и Microsoft, Yandex, Одноклассники, ВКонтакте, Mail.Ru и пр.
Поиск уязвимостей поставлен на промышленную основу, существуют сообщества экспертов-исследователей, которые специализируются на тестах и выявлении брешей и ошибок разработчиков. Компании Facebook, Microsoft, Ford Foundation, Hackerone и GitHub выступили спонсорами bug bounty сообщества (https://internetbugbounty.org/) и оплачивают найденные уязвимости в продуктах с открытым кодом и программном обеспечении, если его вендор не проводит собственную программу по поиску уязвимостей. По некоторым данным, доход эксперта по поиску уязвимостей, работающего на постоянной основе, может составить до $25 тыс. в месяц.
Например, в 2017 г. компания Google выплатила $2,9 млн 274 специалистам, сумевшим найти различные уязвимости в её программах. Финансирование происходит в рамках Google Vulnerability Reward Program (VRP). Так, $112,5 тыс. получил исследователь Гуан Гум, который выявил цепочку эксплойтов в смартфонах Pixel. На поиск брешей в ОС Android было потрачено $1,1 млн., из этой суммы $125 тыс. было выделено на тендеры, гранты получили 50 человек. $50 тыс. получили специалисты, занимающиеся регулярным обновлением системы. Всего за годы работы VRP компания Google потратила $12 млн. По словам представителей компании, эти затраты окупаются. Согласно приведенным на сайте VRP расценкам, цена одной найденной уязвимости составляет от $100 до $31337 в зависимости от значимости ошибки.
С 2011 г. занимается поисками уязвимостей безопасности компания Facebook. Исследователи могут искать ошибки в множестве сервисов и приложений, использовать тестовые аккаунты, минимальная сумма вознаграждения - $500. За 2017 г. компания потратила на программу Facebook's 2017 Bug Bounty более $880 тыс., вознаграждения получили более 100 исследователей. Всего за 6 лет на программу потрачено $6,3млн. Получено 12 тыс. заявлений. Более 400 из них сделано исследователями из Индии, США, Тринидад и Тобаго. По сравнению с 2016 г. средняя выплата составила $1900 против $1675. 32% исследователей приняли участие в программе впервые.
Программа Яндекса по устранению уязвимостей называется «Конкурс «Охота за ошибками». Она стартовала осенью 2012 г., участникам предлагается искать ошибки в браузере поисковика, в сервисах Яндекса в различных доменах и в мобильных предложениях. Минимальная ставка 5500 руб., максимальная – 170 тыс. руб. При работе с Яндекс Браузером ставка за нахождение критически важной уязвимости вырастает до 250 тыс.
ИССЛЕДОВАТЕЛЬ ИЛИ УГОЛОВНИК?
Хакерство наказуемо, соответствующие статьи прописаны в уголовных кодексах большинства стран мира. И если в России можно отделаться условным наказанием или незначительным сроком, то в США хакеру грозят десятки лет тюремного заключения.
Чтобы потом не доказывать правоохранительным органам, что исследователь – всего лишь искатель потенциальных брешей с намерениями заработать деньги честным путем, большинство IT-компаний прописывает правила, которые следует соблюдать в ходе работ: зарегистрироваться, работать под своим именем, использовать тестовые аккаунты и входы. Также необходимо соблюдать политику лояльности компании и не разглашать сведения о найденных уязвимостях в течение определенного срока. Нередки случаи, когда не дождавшийся закрытия уязвимости исследователь публиковал сведения об ошибках разработчиков и попадал за решетку.
Нередки и случаи, когда найденные уязвимости реализуются на «черном рынке», поскольку разработчики программного продукта не проявили интереса к обнаруженной «дыре», в отличие от хакеров, которые готовы предложить за нее хорошую цену. Вопросы этики «белых хакеров» в данном случае не рассматриваются.
Как правило, участвовать в программах и конкурсах могут все желающие, однако некоторые компании (например, Facebook) указывают, что получение вознаграждения может быть невозможно по политических мотивам.
В России отношения исследователя и компании, объявившей о программе поиска уязвимостей, подпадают под действие Гражданского кодекса РФ, а в случае разногласий о правомерности доступа к компьютерной информации – под Кодекс об административных правонарушениях и Уголовный кодекс РФ, где компьютерным преступлениям посвящена глава 28.
Отдельный вопрос – ответственность пентестеров как представителей юридического лица. Часто компаний, которые специализируются на компьютерной безопасности, выступают аудиторами компьютерных систем крупных организаций. И подписывая акт о соответствии систем всем требованиям ИБ, они гарантируют отсутствие известных уязвимостей на момент проверки систем. Однако это не дает никакой гарантии, что завтра система не будет взломана через вновь открытую уязвимость, упущенную пентестерами.
ЧТО И КАК ИСКАТЬ?
Большинство любителей поискать огрехи в чужом коде работают по верхам и просматривают сервисы на стандартные уязвимости и ошибки. Чаще всего проверка ведется с помощью программ тестирования. Обычно ищут уязвимости xss, sql-injection, php-инклудинг, crlf-injection, просматривают хакерские запросы по базам поисковых систем, методы обхода каталога, общедоступные резервные копии сценариев, незакрытые порты и пр. Однако тут везет первым, остальные переходят к следующему проекту в надежде заработать хоть каких-то денег.
Настоящие исследователи не останавливаются на поверхностном изучении программного обеспечения, а идут глубже, без использования стандартных программ по поиску уязвимостей, а следуя своим проверенным методам. Потому и цена за выявленную критическую ошибку, а то и не одну, составляет десятки тысяч рублей, долларов или евро, в зависимости от страны-производителя ПО.
В случае с отечественным ПО потребуется повышение квалификации не только искателей уязвимостей, но и самих программистов, которые грешат тем, что пишут экраны программного кода, не всегда удовлетворяющие минимальным требованиям ИБ. Поиск и исправление ошибок в собственном творении вызывает порой большие затруднения у создателей программ.
ПОДВОДЯ ИТОГИ
Подводить итоги еще не стартовавшей программы по поиску уязвимостей в еще не созданном ПО – дело неблагодарное. Однако есть опыт зарубежных коллег. Так, Министерство обороны США выявило более ста потенциальных брешей в рамках программы поиска уязвимостей Hack the Pentagon в 2016 г. В проекте Defense Digital Service приняли участие свыше 1400 исследователей. Организаторов поразило не столько число найденных уязвимостей, сколько количество потенциальных хакеров, которые зарегистрировались для участия в программе и поработали на благо государства.
Лучшие программы по поиску уязвимостей 2018 г.