Crowdsourcing: Bug Bounty
Крупные вендоры и ИТ-компании все чаще прибегают к краудсорсингу для поиска уязвимостей. И если посмотреть на эту тенденцию глазами «исполнителя», то все кажется просто и очевидно: сделал работу — получил награду. Но гораздо интереснее взглянуть со стороны организатора…
Разумеется, на каком-то этапе зрелости компания начинает осознавать те трудности, которые у нее есть с разработкой и ИБ. Они у всех примерно одинаковые: в больших компаниях очень много различных команд разработчиков, много отделов, много проектов — мелких и больших, которые раскиданы по различным площадкам. Даже если в компании есть SDLС-процессы, не всегда можно уверенно сказать, что все проекты были ими покрыты в прошлом (например, есть много старых проектов, которые были выведены в продакшн до возникновения модных течений) или какая-то команда где-то не схалтурила. При этом не забываем про всякие аутсорс-проекты — многим отделам нужны краткосрочные проекты, нагружать команды, которые заняты чем-то важным, нет возможности, поэтому обращаются к аутсорсерам… В итоге у такой компании, особенно со временем, получается гигантская инфраструктура, куча сервисов и проектов, которые не то что попентестить — тяжело даже просто пронумеровать и перечислить. Поэтому вопросы безопасности достаточно сложно решаемы, ведь команда секурити — она маленькая, там людей намного меньше, чем у R&D. Как же со всем этим справиться?
Краудсорсинг — перенос конкретной работы на неопределенное множество исполнителей-добровольцев. ИТ-секурити столь раскрученная и популярная тема, что в мире найдется много энтузиастов-добрых-хакеров, которые любят практиковать скилы и ломать сайты за идею. Вполне очевидно, что если использовать их интерес, а также немного мотивировать их, то можно частично решить те проблемы, которые были озвучены:
- Вайтхаты сами будут искать ресурсы, которые вышли из-под контроля, и таким образом можно охватить неплохую часть ресурсов.
- Вайтхаты будут искать уязвимости, причем массово, при этом количество участников процесса позволит покрыть большую часть выпущенного кода.
Почему частично? Потому что, к сожалению, они не могут находить действительно сложные вещи, а, как правило, ограничиваются шаблонными проблемами, но зато массово, массово…
Результаты их работы будут контролироваться и управляться секурити-командой компании, что позволит легко идентифицировать такие ситуации, как duplicate или false positive. При этом в зависимости от подхода траты на это будут намного ниже, чем если бы пришлось нанимать пентестеров или людей в штате для такого же покрытия за те же сроки! Выгода очевидна. Но поговорим о мотивации, чтобы понять, как можно контролировать поток.
В зависимости от возможностей и политики компании пути мотивации масс могут быть разными. Рассмотрим классику.
Зал славы
Наиболее базовая и популярная схема. Если некто нашел уязвимость и добропорядочно сообщил о ней владельцу, то владелец на специальной «доске почета» — страничке в интернете вывесил имя, контакты или место работы героя. Соответственно, это самая дешевая для владельца схема. Для багхантеров же это имеет смысл — твое имя на сайте adobe.com или microsoft.com, черным по белому, ЧСВ же. А кроме того, для многих это попытка заявить о себе другим, например в Гугле на собеседованиях в секурити-команду часто спрашивают: «а вы в зале славы у нас висите?». Да и вообще, к резюме это будет неплохое приложение, так что не ЧСВ единым — практическая ценность у данной стены есть.
Конкурсы
Кроме того, есть возможность организовать конкурсы с победными местами и призами за них. Да, призы будут стоить денег, зато количество участников с полезным контентом перевесит в целом стоимость призов. Разумеется, это сложно делать на постоянной основе, но что можно отнести к плюсам — это контролируемый процесс и контролируемая нагрузка. Хотя эти плюсы могут быть сомнительны, но чаще всего это может быть либо на неофициальной основе, либо как проба пера.
Постоянные выплаты
Следующая возможность — организовать бюджет и на основе неких правил выплачивать за определенный тип работы вполне определенные деньги. Практически фиксированным образом, за определенные уязвимости и за определенные достижения компания выплачивает гарантированные деньги. Данный метод хорош, если мы относительно уверены в наших возможностях, поэтому при таком варианте сильно ограничивают scope — множество ресурсов, которые входят в данную программу.
На самом деле мотивация бывает разная, но работает любая из них. Многие готовы искать уязвимости за «спасибо на стене». Не верите — посмотрите сюда:
И это только маленький список компаний, тем не менее на их стенах полно людей, которые не пожалели времени и «за спасибо» нашли те или иные проблемы.
С конкурсами тоже все более-менее ясно. Думаю, все помнят конкурс, который проводила компания «Яндекс» в конце 2011 года, — «Месяц поиска уязвимостей» (в котором я даже занял второе место и выиграл какие-то деньги, которые успешно спустил в выплаты по кредиту… неудачник, да…). Затем конкурс плавно перерос в полноценную программу с фиксированными выплатами. Кроме того, известные деятели интернета, компания Badoo, как раз в эти минуты, пока я пишу строки, проводит свой месяц поиска уязвимостей — «Проверь Badoo на прочность!». В этом конкурсе компания платит уже за все уязвимости, которые разделены на пять уровней. Возможно, ребята хотят проверить свой потенциал и ограничили данный эксперимент месяцем, и кто знает, что будет дальше?
Ну а про полноценные программы ты и так знаешь, это и Яндекс, и Google, и Facebook. Особо тут добавить нечего — нашел уязвимость, отправил, тебе ее оценили и оплатили. Критерии оценки зависят от типа ресурса и вида уязвимости, что подробно описано в соответствующих разделах на сайтах этих компаний.
Дружественные визиты на стену от «конкурентов». Это весело :)Все-таки тут у нас колонка авторская (типа универсальная отмаза), поэтому не могу не сказать и про свое видение и отношение к мотивации. Я, конечно, понимаю замечательный подход #NoMoreFreeBugs, но, люди, будьте людьми! Найти XSS, которую никто эксплуатировать не собирается, да еще если это «self XSS», и требовать за это деньги — как минимум неэтично. Вообще, этичность — это когда ты САМ хочешь сделать интернет безопаснее, а не потому, что ты ожидаешь получить плюшку. Поэтому мы в Nokia решили сделать все интереснее. Основная мотивация — зал славы, но тем ребятам, которые показали что-то достойное и интересное, мы будем дарить не деньги, а подарки (наши телефоны). Если уязвимость реальная и ей можно воспользоваться и сделать определенные действия, если можно получить что-то, то мы с удовольствием наградим героя. Очень важно понимать, что мы оцениваем реальную угрозу, а не теоретические проблемы с OWASP. Кроме того, мы ценим красоту и изящество, как и все прочие фанаты ИТ-секурити, так что нас можно удивлять :).
Алексей Синцов, Этот e-mail адрес защищен от спам-ботов, для его просмотра у Вас должен быть включен Javascript
Следующие статьи
Предыдущие статьи
КомментарииГость
19.09.2013 21:38:41Ответить
Подробнее: http://www.xakep.ru/post/61283/default.asp
Дайджест новых статей по интернет-маркетингу на ваш email
Новые статьи и публикации
- 2024-03-13 » Стратегии SEO на 2024 год
- 2024-03-13 » Как использовать анимацию с помощью JavaScript-библиотеки GSAP
- 2024-03-13 » Использование GSAP 3 для веб-анимации
- 2024-03-13 » Cогласование топографической съёмки с эксплуатирующими организациями
- 2024-02-19 » Теряются лиды? Как настроить сквозную аналитику
- 2024-02-17 » Мерч и IT: на что обратить внимание в 2024 году
- 2024-02-16 » Копируем с RSync: основные примеры синхронизации файлов
- 2024-02-15 » Лучшие noCode AI платформы для создания диалоговых ботов
- 2024-02-14 » Факторы ранжирования Google 2024 — исследование Semrush
- 2024-02-12 » Перенос сайта на другой хостинг
- 2024-02-05 » В России сформирован реестр хостинг-провайдеров
- 2024-02-04 » Использование SSH для подключения к удаленному серверу Ubuntu
- 2024-02-03 » Подключаемся к серверу за NAT при помощи туннеля SSH. Простая и понятная инструкция
- 2024-02-02 » Настройка CI/CD для Gitlab-репозитория: схемы и гайд по шагам
- 2024-02-01 » GitLab CI Pipeline. Запуск сценария через SSH на удаленном сервере
- 2024-01-29 » Introduction to GitLab’s CI/CD for Continuous Deployments
- 2024-01-26 » Настройка GitLab CI/CD
- 2024-01-25 » Установка shell gitlab runner
- 2024-01-25 » Установка и регистрация gitlab-runner в docker контейнере
- 2024-01-25 » Переменные Gitlab-Ci
- 2024-01-25 » Настройка CI/CD в GitLab для синхронизации проекта с веб-серверами
- 2024-01-25 » Копирование файлов scp
- 2024-01-21 » Бездепозитные бонусы от казино: обзор условий и правил использования
- 2024-01-18 » Современная обработка ошибок в PHP
- 2024-01-18 » Пример шаблона проектирования MVC в PHP
- 2024-01-18 » Мифический человеко-DevOps
- 2023-12-28 » Google подвел итоги 2023 года в поиске
- 2023-12-28 » 5 ошибок отдела продаж, из-за которых вы теряете клиентов
- 2023-12-28 » Американский суд признал монополию Google на рынках дистрибуции Android-приложений
- 2023-12-28 » Хостинг-провайдер GoDaddy перестанет оказывать услуги пользователям из России
"Не пытайтесь перехитрить поисковые машины - надежность и доверие ценятся в сфере поискового маркетинга куда больше." |
Мы создаем сайты, которые работают! Профессионально обслуживаем и продвигаем их , а также по всей России и ближнему зарубежью с 2006 года!
Как мы работаем
Заявка
Позвоните или оставьте заявку на сайте.
Консультация
Обсуждаем что именно Вам нужно и помогаем определить как это лучше сделать!
Договор
Заключаем договор на оказание услуг, в котором прописаны условия и обязанности обеих сторон.
Выполнение работ
Непосредственно оказание требующихся услуг и работ по вашему заданию.
Поддержка
Сдача выполненых работ, последующие корректировки и поддержка при необходимости.