Паралельно з повномасштабним військовим вторгнення росії на територію України продовжує тривати гібридна війна. Ворог здійснює кібератаки на українські бізнеси, державні установи та підприємства. Вадим Шовкун, Head of Bug Bounty Triage Team, у своїй колонці для AIN.UA розповів про кейс Bug Bounty від Prozorro, який триває з 2020 року.
Упродовж останніх років стрімко зросла кількість кібератак, які здійснюються російськими хакерськими групами на нашу країну. Одним із найбільш агресивних підходів є гібридний, який об’єднує кібератаки з іншими формами впливу, такими як ракетні обстріли та ІПСО (інформаційно-психологічний вплив на населення). Це створює комплексні загрози для національної безпеки та життєво важливих ресурсів, які забезпечують стабільність у країні.
Цей негативний тренд вимагає від українського бізнесу, держави й кіберспільноти постійного вдосконалення заходів кіберзахисту та розробки ефективних стратегій протидії атакам, а найважливіше — об’єднання заради спільної безпеки. Об’єднання українських спеціалістів для тестування наших ресурсів — це дійсно те, що зараз потрібно.
Історія з хакерською атакою на «Київстар» демонструє, що зараз усі компанії в Україні з великим обсягом чутливих даних є потенційними цілями, зокрема для російських хакерів. Тому потрібно дбати про кіберзахист приватних та державних підприємств.
Як спеціаліст із досвідом виявлення вразливостей, можу сказати, що ефективним інструментом у цьому процесі можуть стати програми Bug Bounty – один із ключових компонентів у боротьбі з кібератаками.
Чому Bug Bounty актуальне
Bug Bounty (баг баунті) — це змагання, де широке коло спеціалістів із кібербезпеки («білі/етичні» хакери, багхантери) отримують винагороду в разі виявлення помилки в роботі систем і мереж приватної або державної компанії чи установи. Ці змагання дозволяють розробникам усувати помилки, що запобігають випадкам зловживання та витоку даних.
Певно, найпершими в контексті компаній, що проводять Bug Bounty, згадують Google, Apple, Intel. Проте до використання цієї практики вдається не тільки бізнес — це й Пентагон, уряд провінції Квебек у Канаді, Європейська комісія тощо.
У комерційному секторі України програму Bug Bounty нещодавно запустив monobank. А ще раніше такі ж програми проводили державні «Дія» та «ПриватБанк». Найтривалішим Bug Bounty серед українського держсектору, який першим відновився після початку повномасштабної війни став Prozorro Bug Bounty.
Кейс Prozorro Bug Bounty
Команда ДП «Прозорро» ще до 24 лютого проводила Bug Bounty, у якій я брав активну участь із 2019 року. Електронна система публічних закупівель — «ласий шматочок» у російсько-українській війні. Якщо її «покласти» на тривалий час — це загальмує багато важливих для держави закупівель.
Prozorro складається із центральної бази даних (ЦБД), якою опікується ДП «Прозорро», та підключених до неї електронних торговельних майданчиків, через які державні замовники та бізнес беруть участь у тендерах. Багхантерам дають для пошуків тестові середовища ЦБД та самих майданчиків. Зазвичай майданчики перед долученням до Bug Bounty проводять pentest. Але бахантеру все одно залишиться, що шукати. Проблема не в pentest — підходи пентестера та багхантера різні.
Програму координує команда Cyber Unit Technologies, яка має досвід у Bug Bounty. Ми визначаємо область тестування (In/Out of Scope), відповідаємо за валідацію вразливостей (визначаємо критичність вразливостей, знайдених багхантерами, вивчаємо звіти багхантерів та готуємо кінцеві технічні звіти, на підставі яких розробники покращують власну інфраструктуру.
Учасники отримують необмежену кількість часу для пошуку вразливостей. Грошова винагорода багхантера залежить від рівня знайденої вразливості, також від цього залежать бали. Відповідно до балів формується рейтинговий список. Загалом усі правила та потрібна інформація описані на сторінці програми. Область тестування відкрита, а результати зі ступенем критичності виявлених вразливостей — загальнодоступні.
Свого часу у 2020 році мені вдалося за півтора тижня знайти у Prozorro 44 вразливості різної критичності. Зараз вразливостей уже менше. Багхантери змушені постійно креативити — інформаційна безпека стрімко розвивається, а злочинці вигадують нові способи її «пробити».
Багхантери постійно розвиваються
Сфера кіберзахисту дуже швидко розвивається — університетські програми постійно відстають. У кібергалузі основний шлях людина має долати самостійно. Тому фундаментом освіти багхантера є сучасні навчальні курси, профільна література, а головне — дослідження інших багхантерів. Крім цього вони беруть участь у конференціях, профільних вебінарах, CTF-змаганнях та слухають подкасти з топами в кібербезпеці. Також для їхнього тренування існують кіберполігони.
Участь у програмі Bug Bounty є важливим професійним етапом для кожного спеціаліста з кібербезпеки, оскільки таким чином можна добре розвивати власні навички.
Багхантеру важливо мислити нестандартно — необов’язково мати широкі знання. Більшість ІТ-спеціалістів уже мають базові навички, необхідні для участі в Bug Bounty-програмах. Їх можна розвивати, проводячи власні дослідження систем.
Багхантерам, державі та бізнесу потрібно Bug Bounty
Bug Bounty-програми від українських комерційних та державних компаній — це класна можливість для всіх IT-фахівців. По-перше, це додатковий заробіток. По-друге, це вдосконалення своїх навичок. Найголовніше — це допомога нашій країні стати безпечнішою в період війни.
Тому закликаю, як професійних багхантерів, так і всіх охочих активно брати участь у таких Bug Bounty-програмах та знаходити вразливості в українських системах до того, як це зроблять росіяни.
Так само сподіваюся, що все більше державних та приватних компаній в Україні запускатимуть власні Bug Bounty-програми. ІТ-інфраструктура — частина сучасної країни, тому використання всіх можливостей для її захисту повинно бути обов’язковим, а не опціональним. Amat Victoria Curam.
Автор: Вадим Шовкун, Head of Bug Bounty Triage Team