Bug Bounty как метод социальной адаптации «черных» хакеров

Логотип компании
Bug Bounty как метод социальной адаптации «черных» хакеров

Изображение: Shutterstock.ai

Способны ли программы Bug Bounty снизить число злоумышленников? Или полигоны для охотников за ошибками — это что угодно, но не способ борьбы с киберпреступностью?

Реализация недопустимых событий может принести компании серьезные финансовые и репутационные убытки и даже привести к уничтожению организации. Ни для кого не секрет, что причина ущерба — деятельность «черных» хакеров, которые только и ждут нужного момента.

Способны ли программы Bug Bounty снизить число злоумышленников? Или полигоны для охотников за ошибками — это что угодно, но не способ борьбы с киберпреступностью, разбираем с Олегом Кочетковым, генеральном директор ИБ и ИТ компании Simplity.

Немного о хакерах

Хакеры условно делятся на три направления: white hats, grey hats и black hats. Если с этической принадлежностью white и black hats все в целом ясно, то grey hats стоит охарактеризовать.

Grey hats — «серые хакеры» — переходят границы между этичным и неэтичным взломом, нарушая законы или используя нечистоплотные методы для достижения этического результата. Такие хакеры могут направлять свои таланты на поиск уязвимостей в сети без разрешения, чтобы просто похвастаться, отточить свои навыки или отыскать слабые места.

Изначально хакеры приобретали свои навыки одинаковым путем поиска уязвимостей, брешей, путей проникновения все дальше в инфраструктуру объекта исследования. В связи с интенсивной цифровизацией бизнеса в течение последнего десятилетия потенциальная добыча становится все привлекательнее для злоумышленников — число «черных» хакеров растет. Но неизменно растет и число «белых» хакеров, то есть противоборствующей команды.

Bug Bounty как способ адаптации команды black hat. Спойлер: нет, это так не работает

В настоящее время наблюдается рост разнообразных возможностей для поиска уязвимостей: существуют как агрегаторы Bug Bounty, так называемые маркетплейсы, так и собственные программы крупных ИТ-компаний, на которых свои силы могут попробовать как начинающие хакеры, так и умельцы продвинутого уровня.

Надо понимать, что, обладая одинаковой квалификацией и инструментами, алгоритмом работы, хакеры отличаются друг от друга одним: моральными принципами. «Черное» хакерство идет от внутренних установок, это отсутствие нравственности закладывает окружающая среда. Можно провести такую аналогию: у каждого дома есть нож, но человека на убийство подталкивает что-то внутреннее. История хакера Ариона Куртаджа, который уже в 16 лет стал лидером хакерской группировки Lapsus$ и менее чем за год взломал несколько компаний мирового уровня, как раз иллюстрирует, что сложное детство, психические особенности и отклонения, непростые отношения с родителями и социумом — все оказывает влияние.

Поэтому нет, большое количество Bug Bounty программ не снизит соотношение «черных» и «белых» хакеров. Если человек привык зарабатывать «вчерную», он продолжит это делать, тем более что заработок на продаже взломанных данных или выкуп, полученный с помощью программ-шифровальщиков, будет существенно выше.

Можно возразить, что программы Bug Bounty иногда сулят баснословные суммы, и почему бы не заработать «белым» путем? Об этом далее.

Bug Bounty с крупным кушем — это маркетинговый ход

Вряд ли мимо кого-то из сферы кибербеза прошла новость о программе Bug Bounty на $60 млн одного известного поставщика ИБ- и ИТ-услуг. Подобные заявления мне представляются не более чем маркетинговым ходом. В крупных компаниях есть сильные отделы по пентесту, где специалисты многократно проверили свою инфраструктуру на невозможность взлома, то есть на проникновения. Можно назвать в качестве вознаграждения любую крупную сумму — ведь человеческий мозг любит яркие цифры — и на хайпе поднять охваты и узнаваемость компании.

И все же если говорить о заработках : Microsoft предлагала $100 тыс. за уязвимость, найденную в последней версии операционной системы. Сумму до миллиона в 2016 году предлагала Apple, но реальная выплата на сегодня составила $200 тыс. VK предлагает почти 2 млн рублей за найденную критическую уязвимость. Но упомянутый выше Арион заработал менее чем за год почти $15 млн.

Bug Bounty как возможность подучиться и подзаработать

Более реалистичный сценарий заработка на выявлении ошибок — выплаты небольшого размера и/или брендированные подарки. Компании предлагают найти уязвимости в своих отдельных продуктах, на веб-ресурсах, иногда выпускают мануалы по оформлению найденных ошибок, разрабатывают обучение по поиску уязвимостей и просят предложить решение по устранению. И это прекрасный вариант для начинающих хакеров повысить свою квалификацию, но мы понимаем, что «черный» хакер не заинтересуется мерчем в подарок.

В свою очередь компании выдвигают правила взаимодействия — например, регистрацию и запрос на участие в тесте на проникновение. Это раскрывает личность хакера, а в случае получения вознаграждения даже обязывает назвать себя, что в свою очередь приемлемо, например, для grey hats, и может быть неприемлемо для black hats.

Один из плюсов участия в Bug Bounty для начинающих пентестеров — разнообразный опыт, взаимодействие с различными инфраструктурами, соответственно, более привлекательное резюме.

Bug Bounty — это дополнительные «рабочие руки» для компании

На Bug Bounty-площадках все чаще можно встретить средние компании, которые предлагают вознаграждение багхантерам. Логика здесь понятна: компания имеет возможность постоянно контролировать свою защищенность в режиме реальной кибератаки, не предоставляя данные пентестерам, обеспечить себе широкий круг исследователей ИТ-инфраструктуры бизнеса. Немаловажно и сохранение бюджета: хакеры со всего мира проводят, по сути, ИБ-аудит с помощью множества инструментов, а Bug Bounty устроены так, что выплатить гонорар нужно только первому нашедшему.

Читайте также
После ухода основных зарубежных вендоров печатного оборудования российские компании оказались наедине со статичной инфраструктурой. Как бизнесу решить проблему? Сформировать новую локальную установку нужного ПО на базе доступных в России иностранных решений или же перейти на отечественное ПО? IT-World рассказывает о системах мониторинга работы печатного оборудования и системах управления печатью.

Таким образом, программы Bug Bounty — выгодный инструмент для компаний разного калибра и «белых» и «серых» хакеров.

Black hats бывшими не бывают

Как решение для борьбы с злоумышленниками или переводом их на светлую сторону Bug Bounty вызывает сомнения. Если говорить, допустим, о трудоустройстве, на мой взгляд, трудно проверить, что во вчерашнем злодее произошли именно этические перемены, и где гарантия, что не произойдет откат? Да, среди хакеров есть примеры, когда бывший злоумышленник после заключения, исправительных работ и штрафа становился преподавателем, лектором или консультантом по ИБ, как «бездомный хакер» Адриан Ламо, Кевин Поулсен (главред Wired News) или ИБ-бизнесмен Кевин Митник.

Кроме того, открытыми остаются такие вопросы, как готовность топ-менеджмента и сотрудников ИБ доброжелательно и доверительно относиться к вчерашним киберпреступникам.

Тут следует вспомнить историю 2023 года, как якобы этичный хакер Пепийн Ван дер Стап, специалист службы ИБ из Нидерландов с хорошей профессиональной репутацией, на деле был и остался киберпреступником и был приговорен к тюремному заключению за взлом и шантаж компаний по всему миру.

Этот пример иллюстрирует, что и «белый» хакинг, и Bug Bounty-программы могут быть не более чем прикрытием. Злоумышленник может найти уязвимость, официально участвуя в Bug Bounty, но при этом не передаст ее компании, а воспользуется сам в корыстных целях.

Мне видится только один сценарий, популярный в западных фильмах, когда перед злодеем стоит выбор: сотрудничать или лишится свободы. Но очевидно, что в таком случае мотивацией все равно является не мораль, а личная выгода.

Опубликовано 27.03.2024

Похожие статьи