Bug Bounty как метод социальной адаптации «черных» хакеров
Изображение: Shutterstock.ai
Реализация недопустимых событий может принести компании серьезные финансовые и репутационные убытки и даже привести к уничтожению организации. Ни для кого не секрет, что причина ущерба — деятельность «черных» хакеров, которые только и ждут нужного момента.
Способны ли программы Bug Bounty снизить число злоумышленников? Или полигоны для охотников за ошибками — это что угодно, но не способ борьбы с киберпреступностью, разбираем с Олегом Кочетковым, генеральном директор ИБ и ИТ компании Simplity.
Немного о хакерах
Хакеры условно делятся на три направления: white hats, grey hats и black hats. Если с этической принадлежностью white и black hats все в целом ясно, то grey hats стоит охарактеризовать.
Grey hats — «серые хакеры» — переходят границы между этичным и неэтичным взломом, нарушая законы или используя нечистоплотные методы для достижения этического результата. Такие хакеры могут направлять свои таланты на поиск уязвимостей в сети без разрешения, чтобы просто похвастаться, отточить свои навыки или отыскать слабые места.
Изначально хакеры приобретали свои навыки одинаковым путем поиска уязвимостей, брешей, путей проникновения все дальше в инфраструктуру объекта исследования. В связи с интенсивной цифровизацией бизнеса в течение последнего десятилетия потенциальная добыча становится все привлекательнее для злоумышленников — число «черных» хакеров растет. Но неизменно растет и число «белых» хакеров, то есть противоборствующей команды.
Bug Bounty как способ адаптации команды black hat. Спойлер: нет, это так не работает
В настоящее время наблюдается рост разнообразных возможностей для поиска уязвимостей: существуют как агрегаторы Bug Bounty, так называемые маркетплейсы, так и собственные программы крупных ИТ-компаний, на которых свои силы могут попробовать как начинающие хакеры, так и умельцы продвинутого уровня.
Надо понимать, что, обладая одинаковой квалификацией и инструментами, алгоритмом работы, хакеры отличаются друг от друга одним: моральными принципами. «Черное» хакерство идет от внутренних установок, это отсутствие нравственности закладывает окружающая среда. Можно провести такую аналогию: у каждого дома есть нож, но человека на убийство подталкивает что-то внутреннее. История хакера Ариона Куртаджа, который уже в 16 лет стал лидером хакерской группировки Lapsus$ и менее чем за год взломал несколько компаний мирового уровня, как раз иллюстрирует, что сложное детство, психические особенности и отклонения, непростые отношения с родителями и социумом — все оказывает влияние.
Поэтому нет, большое количество Bug Bounty программ не снизит соотношение «черных» и «белых» хакеров. Если человек привык зарабатывать «вчерную», он продолжит это делать, тем более что заработок на продаже взломанных данных или выкуп, полученный с помощью программ-шифровальщиков, будет существенно выше.
Можно возразить, что программы Bug Bounty иногда сулят баснословные суммы, и почему бы не заработать «белым» путем? Об этом далее.
Bug Bounty с крупным кушем — это маркетинговый ход
Вряд ли мимо кого-то из сферы кибербеза прошла новость о программе Bug Bounty на $60 млн одного известного поставщика ИБ- и ИТ-услуг. Подобные заявления мне представляются не более чем маркетинговым ходом. В крупных компаниях есть сильные отделы по пентесту, где специалисты многократно проверили свою инфраструктуру на невозможность взлома, то есть на проникновения. Можно назвать в качестве вознаграждения любую крупную сумму — ведь человеческий мозг любит яркие цифры — и на хайпе поднять охваты и узнаваемость компании.
И все же если говорить о заработках : Microsoft предлагала $100 тыс. за уязвимость, найденную в последней версии операционной системы. Сумму до миллиона в 2016 году предлагала Apple, но реальная выплата на сегодня составила $200 тыс. VK предлагает почти 2 млн рублей за найденную критическую уязвимость. Но упомянутый выше Арион заработал менее чем за год почти $15 млн.
Bug Bounty как возможность подучиться и подзаработать
Более реалистичный сценарий заработка на выявлении ошибок — выплаты небольшого размера и/или брендированные подарки. Компании предлагают найти уязвимости в своих отдельных продуктах, на веб-ресурсах, иногда выпускают мануалы по оформлению найденных ошибок, разрабатывают обучение по поиску уязвимостей и просят предложить решение по устранению. И это прекрасный вариант для начинающих хакеров повысить свою квалификацию, но мы понимаем, что «черный» хакер не заинтересуется мерчем в подарок.
В свою очередь компании выдвигают правила взаимодействия — например, регистрацию и запрос на участие в тесте на проникновение. Это раскрывает личность хакера, а в случае получения вознаграждения даже обязывает назвать себя, что в свою очередь приемлемо, например, для grey hats, и может быть неприемлемо для black hats.
Один из плюсов участия в Bug Bounty для начинающих пентестеров — разнообразный опыт, взаимодействие с различными инфраструктурами, соответственно, более привлекательное резюме.
Bug Bounty — это дополнительные «рабочие руки» для компании
На Bug Bounty-площадках все чаще можно встретить средние компании, которые предлагают вознаграждение багхантерам. Логика здесь понятна: компания имеет возможность постоянно контролировать свою защищенность в режиме реальной кибератаки, не предоставляя данные пентестерам, обеспечить себе широкий круг исследователей ИТ-инфраструктуры бизнеса. Немаловажно и сохранение бюджета: хакеры со всего мира проводят, по сути, ИБ-аудит с помощью множества инструментов, а Bug Bounty устроены так, что выплатить гонорар нужно только первому нашедшему.
Таким образом, программы Bug Bounty — выгодный инструмент для компаний разного калибра и «белых» и «серых» хакеров.
Black hats бывшими не бывают
Как решение для борьбы с злоумышленниками или переводом их на светлую сторону Bug Bounty вызывает сомнения. Если говорить, допустим, о трудоустройстве, на мой взгляд, трудно проверить, что во вчерашнем злодее произошли именно этические перемены, и где гарантия, что не произойдет откат? Да, среди хакеров есть примеры, когда бывший злоумышленник после заключения, исправительных работ и штрафа становился преподавателем, лектором или консультантом по ИБ, как «бездомный хакер» Адриан Ламо, Кевин Поулсен (главред Wired News) или ИБ-бизнесмен Кевин Митник.
Кроме того, открытыми остаются такие вопросы, как готовность топ-менеджмента и сотрудников ИБ доброжелательно и доверительно относиться к вчерашним киберпреступникам.
Тут следует вспомнить историю 2023 года, как якобы этичный хакер Пепийн Ван дер Стап, специалист службы ИБ из Нидерландов с хорошей профессиональной репутацией, на деле был и остался киберпреступником и был приговорен к тюремному заключению за взлом и шантаж компаний по всему миру.
Этот пример иллюстрирует, что и «белый» хакинг, и Bug Bounty-программы могут быть не более чем прикрытием. Злоумышленник может найти уязвимость, официально участвуя в Bug Bounty, но при этом не передаст ее компании, а воспользуется сам в корыстных целях.
Мне видится только один сценарий, популярный в западных фильмах, когда перед злодеем стоит выбор: сотрудничать или лишится свободы. Но очевидно, что в таком случае мотивацией все равно является не мораль, а личная выгода.
Опубликовано 27.03.2024
