Цивилизация
— Почему вы решили создать в России платформу Bug Bounty? Что мешает как раньше обращаться за проверкой кода программ, приложений, сайтов к ИБ-компаниям вроде вашей?
— Мы считаем, что самую лучшую проверку защищенности компании могут обеспечить только хакеры. Платформа как раз для того и нужна, чтобы клиент мог получить доступ к огромной выборке независимых специалистов, «белых» хакеров. Мы увидели недостатки платформ с классическим подходом, где главная задача исследователей – находить уязвимости. Мы переосмыслили этот формат и сделали новый — формат реализации недопустимых событий, когда хакеру нужно развить атаку и показать, насколько критична она может быть для системы.
Специалистов в области пентеста с нужным уровнем опыта не много. ИБ-компания – это 10, 20 или 50 пентестеров. А на платформе Bug Bounty их в разы больше. К тому же Bug Bounty – это огромное комьюнити, у участников которого в сумме больше навыков, чем у команды ИБ-компании.
Даже слаженная и собранная команда пентестеров, пожалуй, не сможет дать такой ротации взглядов, техник и идей, которую обеспечивает массированный хакерский трафик — в случае с Bug Bounty работать будут исследователи с разной специализацией, предпочтениями, опытом — это даст возможность поиска большего типа и числа уязвимостей.
Например, вы как клиент хотите проверить свое мобильное приложение на наличие уязвимостей. Сколько таких узкоспециализированных исследователей найдется у ИБ-компании? Ну два, три… А если позвать хакеров через Bug Bounty, их придет намного больше. Следовательно, и уязвимостей будет найдено гораздо больше.
Ярослав Бабин
Фото из личного архива— Сколько, на ваш взгляд, в России таких хакеров?
— По нашей оценке, хороших специалистов, которые уже участвовали в других программах Bug Bounty и понимают, что это такое, около 2 тысяч. Но, с учетом начинающих, таких хакеров наберется около 10 тыс. человек, которые в будущем станут такими же экспертами и пополнят ряды упомянутых выше 2 тыс. высококвалифицированных экспертов.
— Вы собираетесь привлекать «белых» хакеров из-за границы?
— Точно собираемся. И сейчас мы консультируемся с юристами и консультантами по финансам для определения возможных вариантов законного проведения оплаты.
— Каким образом вы будете определять, что хакер-иностранец действительно хочет помочь, а не добыть информацию об уязвимостях в РФ и передать ее правительству другой страны?
— Компанию могут взломать и без Bug Bounty. Но если она решила разместить свою программу, то должна принять на себя риск взлома в результате участия в Bug Bounty или после него.
Ведь пентестеры проверяют инфраструктуру, которая доступна для потенциального взлома всем желающим. То есть «черные» хакеры могут прийти и ровно так же, как и «белые» хакеры, взять и взломать инфраструктуру.
Разница только в том, что «белый» хакер, участник Bug Bounty, об обнаруженной уязвимости сообщит компании-клиенту, получит за это вознаграждение и будет гордиться проделанной работой. А «черный» хакер обнаруженную уязвимость продаст и может понести ответственность, так как совершенное деяние является преступлением.
— То есть, вы не знаете, кем в реальности являются хакеры, которые приходят на вашу платформу?
— Наша задача – информационное посредничество. Мы, как агрегатор, приводим хакеров, приводим клиентов и потом налаживаем между ними связь. При этом клиенты могут выдвинуть условия, на которые хакер либо соглашается, либо нет. Таким условием может быть и раскрытие личности пентестера. Это позволит, например, привлекать к программе только тех хакеров, которые прошли идентификацию. Но сама по себе идентификация участников не является ключевой задачей Bug Bounty-платформы.
— А как клиенты относятся к анонимности людей, которые их взламывают? Часто просят раскрыть личность хакера?
— На самом деле у нас большой запрос от бизнеса ввести идентификацию исследователей. Компании приходят и говорят: «Я очень боюсь за то, что об уязвимостях, которые в моей системе найдут, где-то расскажут». В таких случаях мы предлагаем им добавить в программу «белых» хакеров, которые прошли идентификацию. Но при этом оговариваем с клиентом, что на условиях публичности специалистов, которые отзовутся, будет значительно меньше, нежели на условиях анонимности. Хакеров, готовых работать публично, очень немного.
— Сколько примерно?
— Где-то 5% от обозначенного выше количества – это очень «скудная» доля.
Клиентам, которые хотят проверить свои инфраструктуру и ПО, но не согласны работать с хакерами на условиях анонимности, пожалуй, лучше обращаться за приватным пентестом к ИБ-компаниям, о чем мы говорили в самом начале.
— Бывает ли такое, что пентестеры нарушают правила Bug Bounty-платформ? Могут ли они, например, опубликовать информацию о найденной в инфраструктуре клиента уязвимости?
— Такие ситуации бывают, но их количество совсем небольшое, это, скорее, погрешность.
Когда хакер приходит на Bug Bounty-платформу, он понимает, зачем он это делает. Ему гораздо выгоднее работать с клиентом в доверительных отношениях, а не навредить.
Иногда клиент Bug Bounty может сказать: «У нас появится новый сервис, в котором можно искать уязвимости, но мы не хотели бы его афишировать». Следом он приглашает опробовать этот сервис избранных хакеров, — тех, кому он доверяет и знает, что они ответственно подойдут к раскрытию информации.
Хакер, который пришел в закрытый сервис первым, имеет больше шансов найти уязвимости и, следовательно, получить за нее награду.
— И все же, как вы будете наказывать хакеров за нарушения правил платформы?
— Это либо удаление хакера с платформы полностью, либо его отключение от программы конкретного клиента. Также мы будем понижать рейтинг специалистов-нарушителей и, возможно, даже лишать их обещанных выплат по согласованию с клиентом. Но эти случаи будут оговариваться отдельно.
— Система наказания провинившихся пентестеров на вашей платформе уже разработана?
— У нас нет какого-то свода конкретных действий на эти случаи, поскольку все они будут уникальными. Нам нужно будет пообщаться с клиентом, потом пообщаться с хакером. Если это возможно, понять, из-за чего возникла проблема: почему недоволен хакер или клиент. А потом, исходя из доводов с каждой стороны, принимать решение в чью-то пользу.
Мы будем на нашей платформе в роли арбитра, который удовлетворяет интересы как клиента, так и хакера.
— После 24 февраля крупнейшая в мире Bug Bounty-платформа HackerOne отказалась от сотрудничества с российскими хакерами и исключила из числа клиентов российские компании. Как хакеры восприняли это событие?
— Они остались без заработка. Я состою в разных чатах и вижу, что их участники ищут другие платформы, на которых нет ограничений по выплатам для граждан РФ. У нас в России публичных Bug Bounty-программ не так уж и много. «Яндекс», «Азбука вкуса», может быть, еще какие-то компании самостоятельно платят за обнаружение уязвимостей в своих продуктах. Но частные программы не сравнятся с платформой, где такие программы вознаграждений появляются регулярно.
— А как HackerOne вообще понимает, что на них выходит хакер из России?
— Для получения выплат от HackerOne хакеры прикрепляют к профилю реквизиты SWIFT-счетов. По ним можно понять, куда платежи уходят. Ну а компаний там не так уж и много было, чтобы не найти их на платформе и не понять, что они из России.
— Отлучение российских хакеров от HackerOne стало для вас поводом запустить свою Bug Bounty-платформу?
— Нет. Мы начали разработку проекта до этого и говорили о дате старта платформы еще на прошлом The Standoff в ноябре 2021 года. Это соответствует нашим идеям результативной кибербезопасности, и мы считаем, что проверка систем и IT-инфраструктур независимыми специалистами является конечным этапом проверки уровня эффективности ИБ.
— Когда обыватель представляет себе интерфейс Bug Bounty-платформы, то кажется, что там должны быть представлены страшные аватарки разных хакеров с баллами, отражающими «крутизну». Так и будет?
— Думаю, так и будет. Это субкультура, поэтому там то клоуны на аватарах появляются, то какие-то персонажи из мемов. Это забавно и круто.