«Белые хакеры» — как легально взламывать системы и получать за это деньги

Bug Bounty — это программы, в рамках которых специалисты легально ищут уязвимости в сервисах определенных компаний и легально же получают за это вознаграждения. Такие программы есть у Facebook, Google, Microsoft, Amazon, Uber и многих других. Среди них есть и украинские компании. Например, «ПриватБанк» запустил свою программу еще в 2012 году, а за 5 лет работы программы Bug Bounty «ПриватБанк» получил от добровольных тестировщиков более 1 800 результативных сигналов об уязвимостях и выплатил данным «охотникам за багами» более 2,7 млн грн вознаграждения. Недавно свою программу Bug Bounty запустила компания «Киевстар». 

Экспертов, которые участвуют в Bug Bounty, называют этичными хакерами или «White hat» («белые шляпы»), что указывает на то, что взломы сервисов такие люди производят легально, а не в корыстных целях, и сообщают о найденном в компанию, а не используют для противоправной деятельности или продажи на подпольных форумах. Сами же специалисты предпочитают называть себя исследователями в области информационной безопасности (security или vulnerability researcher), а не хакерами, поскольку по факту они никого не взламывают, а находят уязвимости и сообщают о них.

Артем Бобок и Денис Козенко (оба входят в рейтинг самых активных багхантеров по версии «ПриватБанка») рассказали AIN.UA о том, как находят уязвимости в украинских компаниях и что за это получают. 

Где работаете?

Артем Бобок, ник gorodnya: Мне 30, я работаю в одном из украинских банков тестировщиком.

Денис Козенко, ник denisdnu: Мне 36 лет, работаю Java-разработчиком в одной из аутсорсинговых компаний.

Как давно занимаетесь поиском уязвимостей и почему начал?

АБ: Тестированием тех или иных сервисов в свободное от основной работы время я занимаюсь около 5 лет, поиском именно уязвимостей меньше — 3 года. Почему начал? После того, как нашел свою первую уязвимость в крупнейшем украинском платежном сервисе, понял: если уж здесь нашел, то и дальше смогу.

ДК: Поиском уязвимостей занимаюсь порядка 5 лет. Я заинтересовался этим после того, как компания, в которой я работал начинающим программистом, сама запустила внутрикорпоративную программу по поиску уязвимостей. Так, однажды кто-то из сотрудников другого департамента нашел уязвимость в сервисе, который на тот момент разрабатывала моя команда. После ее закрытия я начал проверять все наши сервисы, а потом и сервисы всей компании. Так и затянуло.

Смотрите на баги только в тех сервисах, которые платят за них?

АБ: Нет, не только. Я тестирую не только те сервисы, которые платят за уязвимости. Стараюсь по возможности смотреть все, что выходит на рынок, связанное с платежными технологиями. Мне это интересно и полезно как для расширения кругозора, получения полезных контактов, так и для работы.

ДК: По-разному. Иногда ищу в тех сервисах, которыми активно пользуюсь. Если нахожу дыру, настойчиво прошу закрыть, так как под угрозой находятся мои персональные данные. Представляюсь обычно клиентом и никогда денег за такие уязвимости не прошу. Но иногда платят. А иногда, из-за непрофессионализма сотрудников, компании не признают факта наличия уязвимости, либо всячески пытаются приуменьшить ее критичность. Так часто бывает, если обращаешься в клиентскую поддержку как клиент, а не исследователь безопасности. В таком случае иногда приходится публиковать информацию об уязвимости на профильных сайтах, например «Хабрахабр», чтобы донести до компании важность поднятой проблемы. Тогда они быстрее реагируют и закрывают уязвимости.

Ищете уязвимость ради вознаграждения?

АБ: Ищу из спортивного интереса, а также потому, что часто знаю, что должно быть в том или ином месте. Не обязательно это будет именно уязвимость — я сообщаю также и о недочетах в дизайне, процессах, о том, как улучшить пользовательский опыт. Ну и считаю, что критические ошибки нужно исправлять, дабы они не навредили ни компании, ни ее клиентам.

ДК: Чаще всего это просто интерес. Какое-то время искал уязвимости в рамках дополнительного заработка, сейчас этим практически не занимаюсь, так как свободного от основной работы времени у меня не так много. Я сейчас уделяю больше внимания профессиональному росту на основном месте работы, что в достаточной степени компенсирует мне упущенные дополнительные доходы. Поэтому, как я уже сказал, в данный момент я чаще всего ищу уязвимости так сказать «налету», в процессе пользования сервисами. Например, при покупке авиабилетов, при бронировании автомобиля в путешествии, при пользовании личным кабинетом оператора мобильной связи. Помимо интереса, такие действия позволяют хоть немного, но сделать безопаснее сайты, которыми я пользуюсь.

Что мешает продавать найденное на черном рынке — наверняка за определенные ошибки там заплатят больше?

АБ: Мне хочется делать мир лучше, поэтому о том, чтобы продать информацию на черном рынке, даже мыслей нет. И, конечно, я вижу примеры багхантеров, которые честным трудом зарабатывали по несколько тысяч долларов за одну уязвимость. Надеюсь, когда-нибудь и я найду ошибку в Facebook стоимостью $30 000 🙂

ДК: Это противозаконно, деньги меня не интересуют настолько, чтобы лезть в эту область. Я признаю только этичный хакинг — тот, который приносит пользу, а не вред.

Какое самое смешное вознаграждение вы получали? Не обязательно в денежном эквиваленте.

АБ: Я расскажу о вознаграждении, которое не связано с серьезной проблемой. Мне понравился один сервис. Во время тестирования я сделал заказ на минимально возможную сумму — купил чашку кофе. После отправки в компанию отчета о найденных ошибках меня поблагодарили, а также сообщили, что в знак благодарности мне бесплатно повторили мой заказ — чашку кофе, стоимостью 12 гривен. Это было смешно.

ДК: Наверное, 4000 бесплатных мегабайт для мобильного интернета от «Киевстар». У меня их было и так больше необходимого на тот момент. В итоге я их так и не использовал. Да и стоимость этих мегабайт была смешная по сравнению с критичностью уязвимости — особенно учитывая то, что недавно «Киевстар» запускал двухнедельную багбаунти-программу на Bugcrowd, когда средняя сумма выплаты за уязвимости составила $430.

Можете рассказать о самом крупном?

АБ: Самым крупным вознаграждением я считаю вот такое. Однажды мне настолько понравились интернет-банкинг и платежные карты одного банка, что я решил, что хотел бы там работать. После того, как я оформил и получил их карту, я нашел ошибку в их системе и написал по найденным на сайте контактам. На следующий день мне позвонили, поблагодарили за сообщение и сообщили, что ошибка уже исправлена. А еще поинтересовались, кем я работаю и не хочу ли работать у них. Через месяц я уже вышел к ним на работу, где с удовольствием и работаю по сей день.

ДК: Одна из уязвимостей на сайте «ПриватБанка». Точной суммы не помню, что-то около $1500.

Быстро ли компании реагируют на сообщения о дырах в безопасности и быстро ли их исправляют?

АБ: По-разному. Были случаи, когда ошибки исправлялись за один рабочий день, а бывает, когда переписка идет несколько месяцев, потому что приходится доказывать серьезность проблемы или вообще факт ее наличия.

ДК: Те компании, которые предлагают багбаунти-программы, реагируют как правило быстрее, чем компании, не заинтересованные в этом. По моему опыту, в среднем компания тратит 1 месяц на закрытие уязвимости.

Ищете ли баги в зарубежных сервисах:

АБ: Специально не ищу, но иногда нахожу в том, чем пользуюсь, или в том, что новое вышло на рынок. Просмотреть все попросту нет времени.

ДК: Да.

Насколько уязвимые украинские сайты?

АБ: Украинцы делают как прекрасные продукты и услуги, так и сайты с банальными уязвимостями.

ДК: Трудно сравнить объективно без статистики. Субъективно, не больше, чем зарубежные. Все зависит от бюджета, потраченного на разработку и поддержку ПО, а так же от внутрикорпоративных стандартов в этой области разработки и зачастую из-за некомпетентности руководства либо ответственных лиц в вопросах безопасности ПО. 

Почему компании медлят в решение своих проблем?

АБ: В основном, сложно пробиться сквозь их линии поддержки — сквозь колл-центры и саппорт — чтобы донести ситуацию до ответственного сотрудника. У 99,99% нет выделенного email-ящика для получения сообщений от клиентов о найденных проблемах — приходится звонить или писать по всем найденных контактам, просить соединить с отделом безопасности, предоставить их контактные данные или передать сотрудникам мои, или спрашивать контакты по знакомым. На сообщения не отвечают или отвечают, что это не ошибка и это нормально (хотя ты знаешь, что это далеко не так). Пример из личного опыта. Нашел проблему, отправил письмо. На протяжении недели никакого ответа не последовало. Отправил второе письмо — тоже ноль реакции. В третий раз переслал вопрос, получили ли мое сообщение, уже на дополнительные адреса, которые смог найти. Тоже ничего. Написал на email, который был указан в контактах разработчика мобильного приложения этой компании. И уже на пятом письме мне отвечает руководитель, который извинился, сказав, что первоначальный ящик, на который я писал, не отслеживался. Т.е. на одной из главных страниц сайта они разместили контактный email, который не проверяют! Вот так и получается. 

ДК: Частично я ответил в предыдущем сообщении — многое зависит от внутрикорпоративных стандартов. Также часто причиной является отсутствие каналов связи с компетентными безопасниками либо разработчиками, которые могут адекватно принять полученную информацию и оперативно среагировать.

Напомним, ранее AIN.UA брал интервью у капитана команды DCUA — команды, которая обошла соперников из более чем 12 000 команд из всех стран мира.