Crowdsourcing: Bug Bounty

//19.09.2013 Crowdsourcing: Bug BountyCrowdsourcing: Bug Bounty
Crowdsourcing: Bug Bounty

Крупные вендоры и ИТ-компании все чаще прибегают к краудсорсингу для поиска уязвимостей. И если посмотреть на эту тенденцию глазами «исполнителя», то все кажется просто и очевидно: сделал работу — получил награду. Но гораздо интереснее взглянуть со стороны организатора…

Разумеется, на каком-то этапе зрелости компания начинает осознавать те трудности, которые у нее есть с разработкой и ИБ. Они у всех примерно одинаковые: в больших компаниях очень много различных команд разработчиков, много отделов, много проектов — мелких и больших, которые раскиданы по различным площадкам. Даже если в компании есть SDLС-процессы, не всегда можно уверенно сказать, что все проекты были ими покрыты в прошлом (например, есть много старых проектов, которые были выведены в продакшн до возникновения модных течений) или какая-то команда где-то не схалтурила. При этом не забываем про всякие аутсорс-проекты — многим отделам нужны краткосрочные проекты, нагружать команды, которые заняты чем-то важным, нет возможности, поэтому обращаются к аутсорсерам… В итоге у такой компании, особенно со временем, получается гигантская инфраструктура, куча сервисов и проектов, которые не то что попентестить — тяжело даже просто пронумеровать и перечислить. Поэтому вопросы безопасности достаточно сложно решаемы, ведь команда секурити — она маленькая, там людей намного меньше, чем у R&D. Как же со всем этим справиться?

Краудсорсинг — перенос конкретной работы на неопределенное множество исполнителей-добровольцев. ИТ-секурити столь раскрученная и популярная тема, что в мире найдется много энтузиастов-добрых-хакеров, которые любят практиковать скилы и ломать сайты за идею. Вполне очевидно, что если использовать их интерес, а также немного мотивировать их, то можно частично решить те проблемы, которые были озвучены:

  1. Вайтхаты сами будут искать ресурсы, которые вышли из-под контроля, и таким образом можно охватить неплохую часть ресурсов.
  2. Вайтхаты будут искать уязвимости, причем массово, при этом количество участников процесса позволит покрыть большую часть выпущенного кода.

Почему частично? Потому что, к сожалению, они не могут находить действительно сложные вещи, а, как правило, ограничиваются шаблонными проблемами, но зато массово, массово…

Результаты их работы будут контролироваться и управляться секурити-командой компании, что позволит легко идентифицировать такие ситуации, как duplicate или false positive. При этом в зависимости от подхода траты на это будут намного ниже, чем если бы пришлось нанимать пентестеров или людей в штате для такого же покрытия за те же сроки! Выгода очевидна. Но поговорим о мотивации, чтобы понять, как можно контролировать поток.

В зависимости от возможностей и политики компании пути мотивации масс могут быть разными. Рассмотрим классику.

Зал славы

Наиболее базовая и популярная схема. Если некто нашел уязвимость и добропорядочно сообщил о ней владельцу, то владелец на специальной «доске почета» — страничке в интернете вывесил имя, контакты или место работы героя. Соответственно, это самая дешевая для владельца схема. Для багхантеров же это имеет смысл — твое имя на сайте adobe.com или microsoft.com, черным по белому, ЧСВ же. А кроме того, для многих это попытка заявить о себе другим, например в Гугле на собеседованиях в секурити-команду часто спрашивают: «а вы в зале славы у нас висите?». Да и вообще, к резюме это будет неплохое приложение, так что не ЧСВ единым — практическая ценность у данной стены есть.

Конкурсы

Кроме того, есть возможность организовать конкурсы с победными местами и призами за них. Да, призы будут стоить денег, зато количество участников с полезным контентом перевесит в целом стоимость призов. Разумеется, это сложно делать на постоянной основе, но что можно отнести к плюсам — это контролируемый процесс и контролируемая нагрузка. Хотя эти плюсы могут быть сомнительны, но чаще всего это может быть либо на неофициальной основе, либо как проба пера.

Постоянные выплаты

Следующая возможность — организовать бюджет и на основе неких правил выплачивать за определенный тип работы вполне определенные деньги. Практически фиксированным образом, за определенные уязвимости и за определенные достижения компания выплачивает гарантированные деньги. Данный метод хорош, если мы относительно уверены в наших возможностях, поэтому при таком варианте сильно ограничивают scope — множество ресурсов, которые входят в данную программу.

На самом деле мотивация бывает разная, но работает любая из них. Многие готовы искать уязвимости за «спасибо на стене». Не верите — посмотрите сюда:

И это только маленький список компаний, тем не менее на их стенах полно людей, которые не пожалели времени и «за спасибо» нашли те или иные проблемы.

С конкурсами тоже все более-менее ясно. Думаю, все помнят конкурс, который проводила компания «Яндекс» в конце 2011 года, — «Месяц поиска уязвимостей» (в котором я даже занял второе место и выиграл какие-то деньги, которые успешно спустил в выплаты по кредиту… неудачник, да…). Затем конкурс плавно перерос в полноценную программу с фиксированными выплатами. Кроме того, известные деятели интернета, компания Badoo, как раз в эти минуты, пока я пишу строки, проводит свой месяц поиска уязвимостей — «Проверь Badoo на прочность!». В этом конкурсе компания платит уже за все уязвимости, которые разделены на пять уровней. Возможно, ребята хотят проверить свой потенциал и ограничили данный эксперимент месяцем, и кто знает, что будет дальше?

Ну а про полноценные программы ты и так знаешь, это и Яндекс, и Google, и Facebook. Особо тут добавить нечего — нашел уязвимость, отправил, тебе ее оценили и оплатили. Критерии оценки зависят от типа ресурса и вида уязвимости, что подробно описано в соответствующих разделах на сайтах этих компаний.

Crowdsourcing: Bug BountyДружественные визиты на стену от «конкурентов». Это весело :)

Все-таки тут у нас колонка авторская (типа универсальная отмаза), поэтому не могу не сказать и про свое видение и отношение к мотивации. Я, конечно, понимаю замечательный подход #NoMoreFreeBugs, но, люди, будьте людьми! Найти XSS, которую никто эксплуатировать не собирается, да еще если это «self XSS», и требовать за это деньги — как минимум неэтично. Вообще, этичность — это когда ты САМ хочешь сделать интернет безопаснее, а не потому, что ты ожидаешь получить плюшку. Поэтому мы в Nokia решили сделать все интереснее. Основная мотивация — зал славы, но тем ребятам, которые показали что-то достойное и интересное, мы будем дарить не деньги, а подарки (наши телефоны). Если уязвимость реальная и ей можно воспользоваться и сделать определенные действия, если можно получить что-то, то мы с удовольствием наградим героя. Очень важно понимать, что мы оцениваем реальную угрозу, а не теоретические проблемы с OWASP. Кроме того, мы ценим красоту и изящество, как и все прочие фанаты ИТ-секурити, так что нас можно удивлять :).

Алексей Синцов, Этот e-mail адрес защищен от спам-ботов, для его просмотра у Вас должен быть включен Javascript


Следующие статьи
Предыдущие статьи

КомментарииUserГость
19.09.2013 21:38:41
Ответить

Подробнее: http://www.xakep.ru/post/61283/default.asp

Читать комменты и комментировать

Добавить комментарий / отзыв



Защитный код
Обновить

Crowdsourcing: Bug Bounty | | 2013-09-19 20:10:00 | | Статьи об Интернет безопасности | | //19.09.2013 Крупные вендоры и ИТ-компании все чаще прибегают к краудсорсингу для поиска уязвимостей. И если посмотреть на эту тенденцию глазами «исполнителя», то все кажется просто и очевидно: | РэдЛайн, создание сайта, заказать сайт, разработка сайтов, реклама в Интернете, продвижение, маркетинговые исследования, дизайн студия, веб дизайн, раскрутка сайта, создать сайт компании, сделать сайт, создание сайтов, изготовление сайта, обслуживание сайтов, изготовление сайтов, заказать интернет сайт, создать сайт, изготовить сайт, разработка сайта, web студия, создание веб сайта, поддержка сайта, сайт на заказ, сопровождение сайта, дизайн сайта, сайт под ключ, заказ сайта, реклама сайта, хостинг, регистрация доменов, хабаровск, краснодар, москва, комсомольск |
 
Поделиться с друзьями: