Crowdsourcing: Bug Bounty
Крупные вендоры и ИТ-компании все чаще прибегают к краудсорсингу для поиска уязвимостей. И если посмотреть на эту тенденцию глазами «исполнителя», то все кажется просто и очевидно: сделал работу — получил награду. Но гораздо интереснее взглянуть со стороны организатора…
Разумеется, на каком-то этапе зрелости компания начинает осознавать те трудности, которые у нее есть с разработкой и ИБ. Они у всех примерно одинаковые: в больших компаниях очень много различных команд разработчиков, много отделов, много проектов — мелких и больших, которые раскиданы по различным площадкам. Даже если в компании есть SDLС-процессы, не всегда можно уверенно сказать, что все проекты были ими покрыты в прошлом (например, есть много старых проектов, которые были выведены в продакшн до возникновения модных течений) или какая-то команда где-то не схалтурила. При этом не забываем про всякие аутсорс-проекты — многим отделам нужны краткосрочные проекты, нагружать команды, которые заняты чем-то важным, нет возможности, поэтому обращаются к аутсорсерам… В итоге у такой компании, особенно со временем, получается гигантская инфраструктура, куча сервисов и проектов, которые не то что попентестить — тяжело даже просто пронумеровать и перечислить. Поэтому вопросы безопасности достаточно сложно решаемы, ведь команда секурити — она маленькая, там людей намного меньше, чем у R&D. Как же со всем этим справиться?
Краудсорсинг — перенос конкретной работы на неопределенное множество исполнителей-добровольцев. ИТ-секурити столь раскрученная и популярная тема, что в мире найдется много энтузиастов-добрых-хакеров, которые любят практиковать скилы и ломать сайты за идею. Вполне очевидно, что если использовать их интерес, а также немного мотивировать их, то можно частично решить те проблемы, которые были озвучены:
- Вайтхаты сами будут искать ресурсы, которые вышли из-под контроля, и таким образом можно охватить неплохую часть ресурсов.
- Вайтхаты будут искать уязвимости, причем массово, при этом количество участников процесса позволит покрыть большую часть выпущенного кода.
Почему частично? Потому что, к сожалению, они не могут находить действительно сложные вещи, а, как правило, ограничиваются шаблонными проблемами, но зато массово, массово…
Результаты их работы будут контролироваться и управляться секурити-командой компании, что позволит легко идентифицировать такие ситуации, как duplicate или false positive. При этом в зависимости от подхода траты на это будут намного ниже, чем если бы пришлось нанимать пентестеров или людей в штате для такого же покрытия за те же сроки! Выгода очевидна. Но поговорим о мотивации, чтобы понять, как можно контролировать поток.
В зависимости от возможностей и политики компании пути мотивации масс могут быть разными. Рассмотрим классику.
Зал славы
Наиболее базовая и популярная схема. Если некто нашел уязвимость и добропорядочно сообщил о ней владельцу, то владелец на специальной «доске почета» — страничке в интернете вывесил имя, контакты или место работы героя. Соответственно, это самая дешевая для владельца схема. Для багхантеров же это имеет смысл — твое имя на сайте adobe.com или microsoft.com, черным по белому, ЧСВ же. А кроме того, для многих это попытка заявить о себе другим, например в Гугле на собеседованиях в секурити-команду часто спрашивают: «а вы в зале славы у нас висите?». Да и вообще, к резюме это будет неплохое приложение, так что не ЧСВ единым — практическая ценность у данной стены есть.
Конкурсы
Кроме того, есть возможность организовать конкурсы с победными местами и призами за них. Да, призы будут стоить денег, зато количество участников с полезным контентом перевесит в целом стоимость призов. Разумеется, это сложно делать на постоянной основе, но что можно отнести к плюсам — это контролируемый процесс и контролируемая нагрузка. Хотя эти плюсы могут быть сомнительны, но чаще всего это может быть либо на неофициальной основе, либо как проба пера.
Постоянные выплаты
Следующая возможность — организовать бюджет и на основе неких правил выплачивать за определенный тип работы вполне определенные деньги. Практически фиксированным образом, за определенные уязвимости и за определенные достижения компания выплачивает гарантированные деньги. Данный метод хорош, если мы относительно уверены в наших возможностях, поэтому при таком варианте сильно ограничивают scope — множество ресурсов, которые входят в данную программу.
На самом деле мотивация бывает разная, но работает любая из них. Многие готовы искать уязвимости за «спасибо на стене». Не верите — посмотрите сюда:
И это только маленький список компаний, тем не менее на их стенах полно людей, которые не пожалели времени и «за спасибо» нашли те или иные проблемы.
С конкурсами тоже все более-менее ясно. Думаю, все помнят конкурс, который проводила компания «Яндекс» в конце 2011 года, — «Месяц поиска уязвимостей» (в котором я даже занял второе место и выиграл какие-то деньги, которые успешно спустил в выплаты по кредиту… неудачник, да…). Затем конкурс плавно перерос в полноценную программу с фиксированными выплатами. Кроме того, известные деятели интернета, компания Badoo, как раз в эти минуты, пока я пишу строки, проводит свой месяц поиска уязвимостей — «Проверь Badoo на прочность!». В этом конкурсе компания платит уже за все уязвимости, которые разделены на пять уровней. Возможно, ребята хотят проверить свой потенциал и ограничили данный эксперимент месяцем, и кто знает, что будет дальше?
Ну а про полноценные программы ты и так знаешь, это и Яндекс, и Google, и Facebook. Особо тут добавить нечего — нашел уязвимость, отправил, тебе ее оценили и оплатили. Критерии оценки зависят от типа ресурса и вида уязвимости, что подробно описано в соответствующих разделах на сайтах этих компаний.
Дружественные визиты на стену от «конкурентов». Это весело :)Все-таки тут у нас колонка авторская (типа универсальная отмаза), поэтому не могу не сказать и про свое видение и отношение к мотивации. Я, конечно, понимаю замечательный подход #NoMoreFreeBugs, но, люди, будьте людьми! Найти XSS, которую никто эксплуатировать не собирается, да еще если это «self XSS», и требовать за это деньги — как минимум неэтично. Вообще, этичность — это когда ты САМ хочешь сделать интернет безопаснее, а не потому, что ты ожидаешь получить плюшку. Поэтому мы в Nokia решили сделать все интереснее. Основная мотивация — зал славы, но тем ребятам, которые показали что-то достойное и интересное, мы будем дарить не деньги, а подарки (наши телефоны). Если уязвимость реальная и ей можно воспользоваться и сделать определенные действия, если можно получить что-то, то мы с удовольствием наградим героя. Очень важно понимать, что мы оцениваем реальную угрозу, а не теоретические проблемы с OWASP. Кроме того, мы ценим красоту и изящество, как и все прочие фанаты ИТ-секурити, так что нас можно удивлять :).
Алексей Синцов, Этот e-mail адрес защищен от спам-ботов, для его просмотра у Вас должен быть включен Javascript
Следующие статьи
Предыдущие статьи
КомментарииГость
19.09.2013 21:38:41Ответить
Подробнее: http://www.xakep.ru/post/61283/default.asp
Дайджест новых статей по интернет-маркетингу на ваш email
Новые статьи и публикации
- 2024-11-26 » Капитан грузового судна, или Как начать использовать Docker в своих проектах
- 2024-11-26 » Обеспечение безопасности ваших веб-приложений с помощью PHP OOP и PDO
- 2024-11-22 » Ошибки в Яндекс Вебмастере: как найти и исправить
- 2024-11-22 » Ошибки в Яндекс Вебмастере: как найти и исправить
- 2024-11-15 » Перенос сайта на WordPress с одного домена на другой
- 2024-11-08 » OSPanel 6: быстрый старт
- 2024-11-08 » Как установить PhpMyAdmin в Open Server Panel
- 2024-09-30 » Как быстро запустить Laravel на Windows
- 2024-09-25 » Next.js
- 2024-09-05 » OpenAI рассказал, как запретить ChatGPT использовать содержимое сайта для обучения
- 2024-08-28 » Чек-лист: как увеличить конверсию интернет-магазина на примере спортпита
- 2024-08-01 » WebSocket
- 2024-07-26 » Интеграция с Яндекс Еда
- 2024-07-26 » Интеграция с Эквайринг
- 2024-07-26 » Интеграция с СДЕК
- 2024-07-26 » Интеграция с Битрикс-24
- 2024-07-26 » Интеграция с Travelline
- 2024-07-26 » Интеграция с Iiko
- 2024-07-26 » Интеграция с Delivery Club
- 2024-07-26 » Интеграция с CRM
- 2024-07-26 » Интеграция с 1C-Бухгалтерия
- 2024-07-24 » Что такое сторителлинг: техники и примеры
- 2024-07-17 » Ошибка 404: что это такое и как ее использовать для бизнеса
- 2024-07-03 » Размещайте прайс-листы на FarPost.ru и продавайте товары быстро и выгодно
- 2024-07-01 » Профилирование кода в PHP
- 2024-06-28 » Изучаем ABC/XYZ-анализ: что это такое и какие решения с помощью него принимают
- 2024-06-17 » Зачем вам знать потребности клиента
- 2024-06-11 » Что нового в работе Яндекс Метрики: полный обзор обновления
- 2024-06-11 » Поведенческие факторы ранжирования в Яндексе
- 2024-06-11 » Скорость загрузки сайта: почему это важно и как влияет на ранжирование
Все мы сидим в сточной канаве, но некоторые при этом смотрят на звезды Уайльд Оскар - (1854-1900) - английский писатель |
Мы создаем сайты, которые работают! Профессионально обслуживаем и продвигаем их , а также по всей России и ближнему зарубежью с 2006 года!
Как мы работаем
Заявка
Позвоните или оставьте заявку на сайте.
Консультация
Обсуждаем что именно Вам нужно и помогаем определить как это лучше сделать!
Договор
Заключаем договор на оказание услуг, в котором прописаны условия и обязанности обеих сторон.
Выполнение работ
Непосредственно оказание требующихся услуг и работ по вашему заданию.
Поддержка
Сдача выполненых работ, последующие корректировки и поддержка при необходимости.