В России строят отечественный сервис по покупке хакерских услуг взамен заграничных
В России в мае 2022 г. может появиться отечественный агрегатор программ вознаграждения «белых» хакеров за поиск уязвимостей – bug bounty. Над ним работает ИБ-компания Positive Technologies. Это будет российский аналог популярной международной платформы HackerOne.
Россияне заплатят хакерам
Компания Positive Technologies, работающая в сфере информационной безопасности, намерена запустить в России отечественную платформу по поиску уязвимостей в информационных системах. Об этом пишет «Коммерсант» со ссылкой на представителя компании.
Другими словами, Positive Technologies готовит отечественный вариант известной международной платформы-агрератора программ вознаграждения за поиск уязвимостей (bug bounty) HackerOne. Суть платформы, по большому счету, заключается в том, чтобы отвлечь хакеров от взлома систем в корыстных целях.
Участвуя в подобных программах, «этичные» хакеры («белые хакеры», символ этого движения – белая шляпа, white hat) не только проверяют и оттачивают свое мастерство, но и имеют шанс заработать на этом. Успешные взлом и поиск уязвимостей приносят им вознаграждение от организаторов программ.
Свой аналог HackerOne компания Positive Technologies намерена запустить в мае 2022 г., ровно через полгода. Это будет именно полноценный агрегатор частных программ вознаграждения хакеров за взлом.
Со слов руководителя отдела анализа защищенности приложений Positive Technologies Ярослава Бабина, будущая платформа, название которой не раскрывается, «станет посредником между “этичными хакерами” и компаниями». «Сейчас в России такой системы нет, отдельные bug bounty от российских компаний размещаются на международной HackerOne», – заявил он изданию.
Импортозамещение и модернизация идей
Директор центра компетенции Positive Technologies Андрей Бершадский подчеркнул, что грядущая платформа-агрегатор программ bug bounty будет иметь свои характерные отличия от конкурирующих продуктов. В частности, в ней будет реализовано два формата программ bug bounty.
Первый формат Бершадский назвал «традиционным». Его реализация будет хорошо знакома тем, кто участвует в bug bounty. «В традиционной программе bug bounty заказчик платит в целом за обнаруженные уязвимости и получает огромный поток, приходится тратить много ресурсов на верификацию».
Новый формат программ подразумевает формирование некоего реестра «недопустимых событий». Здесь Бершадский предлагает выплачивать хакерам вознаграждение за «цепочку атак, которая однозначно приведет к неприемлемому ущербу». Выбрав такой формат, заказчик, со слов Бершадского, «сэкономит на верификации, а хакеру демонстрация неприемлемого ущерба может принести больший доход».
Идея востребована
Инициатива Positive Technologies по созданию импортозамещенной версии HackerOne специально для России была воспринята положительно. Мнение «за» высказал, в частности, банк ВТБ.
Представители банка, как пишет «Коммерсант», убеждены в целесообразности создания платформы для «этичных» или «белых» хакеров. По их словам, новая платформа может принести пользу, в том числе, и за счет «публикации информации о типовых недопустимых событиях для бизнес-систем различного класса, полагают в пресс-службе банка. «Это позволит компаниям повысить релевантность собственных моделей угроз», – добавили они.
За создание отечественного агрегатора программ bug bounty высказался и ведущий системный инженер компании Varonis Systemes Александр Ветколь. Он сообщил «Коммерсанту», что появление такой платформы в стране даст возможность «снять массу бюрократических вопросов в организации такого процесса внутри компаний, и, при грамотной реализации сервиса, он избавит “золотоискателей” (хакеров, участвующих в программе – прим. CNews) от рисков потенциальных невыплат».
Мнение против
В негативном ключе на возможность появления в России аналога HackerOne отреагировала менеджер по развитию бизнеса группы Angara Анна Михайлова. Она полагает, что «подобная схема может использоваться компаниями как очередной критерий для отказа в вознаграждении.
«Оценка рисков и тем более ущерба – не настолько прозрачный процесс, особенно когда его нужно увязывать с уязвимостями», – заявила изданию Анна Михайлова.
Заимствование идей
Positive Technologies – не первая компания, желающая создать в России отечественного конкурента HackerOne. По информации «Коммерсанта», такая идея родилась у российского банковского сообщества во главе с Центробанком.
С этой задумкой банки направились в «Ростелком-солар» - дочернюю компанию «Ростелекома», работающую, как и Positive Technologies, в сегменте информационной безопасности.
Пока дальше планов эта идея не зашла. Однако в активе «Ростелеком-Солар» есть программа по поиску уязвимостей в ПО и «железе», созданная в рамках федпроекта «Информационная безопасность» из состава нацпрограммы «Цифровая экономика». Запуск программы состоялся в июне 2021 г.
Кто платит хакерам
Свои программы финансового поощрения хакеров за поиск уязвимостей в продуктах, объединенные под общим названием bug bounty, есть у многих крупных компаний. Регулярными поощрениями хакеров занимаются корпорации Microsoft, Apple и Google.
Например, только за счет Microsoft в период 1 июля 2020 г. по 30 июня 2021 г. «белые» хакеры обогатились на $13,6 млн. Эту сумму корпорация выплатила им за участие в 17 программ по поиску уязвимостей в своих программных продуктах и сервисах. Эти деньги поделили между собой 340 ИБ-специалистов из 58 стран мира.
Интернет-гигант Google тоже платит хакерам, даже тем, кто ищет бреши в чужих программных продуктах. CNews писал, что еще в августе 2019 г. Google включила в свою баунти-программу все приложения из магазина Play Store, у которых более 100 млн загрузок. Под действие новых правил подпадают WhatsApp, Facebook, Instagram и другие популярные приложения.
Однако сотрудничество с хакерами далеко не всегда идет на пользу корпорациям. В конце ноября 2021 г. CNews освещал ситуацию, в которой оказалась Microsoft. Обидевшийся на нее «белый» хакер опубликовал секрет превращения любого пользователя Windows в администратора. По его мнению, корпорация существенно недоплатила ему в рамках программы поиска ошибок в продуктах экосистемы Windows. С ним солидарны многие его «коллеги».