Crowdsourcing: Bug Bounty

//19.09.2013

Крупные вендоры и ИТ-компании все чаще прибегают к краудсорсингу для поиска уязвимостей. И если посмотреть на эту тенденцию глазами «исполнителя», то все кажется просто и очевидно: сделал работу — получил награду. Но гораздо интереснее взглянуть со стороны организатора…

Разумеется, на каком-то этапе зрелости компания начинает осознавать те трудности, которые у нее есть с разработкой и ИБ. Они у всех примерно одинаковые: в больших компаниях очень много различных команд разработчиков, много отделов, много проектов — мелких и больших, которые раскиданы по различным площадкам. Даже если в компании есть SDLС-процессы, не всегда можно уверенно сказать, что все проекты были ими покрыты в прошлом (например, есть много старых проектов, которые были выведены в продакшн до возникновения модных течений) или какая-то команда где-то не схалтурила. При этом не забываем про всякие аутсорс-проекты — многим отделам нужны краткосрочные проекты, нагружать команды, которые заняты чем-то важным, нет возможности, поэтому обращаются к аутсорсерам… В итоге у такой компании, особенно со временем, получается гигантская инфраструктура, куча сервисов и проектов, которые не то что попентестить — тяжело даже просто пронумеровать и перечислить. Поэтому вопросы безопасности достаточно сложно решаемы, ведь команда секурити — она маленькая, там людей намного меньше, чем у R&D. Как же со всем этим справиться?

Краудсорсинг — перенос конкретной работы на неопределенное множество исполнителей-добровольцев. ИТ-секурити столь раскрученная и популярная тема, что в мире найдется много энтузиастов-добрых-хакеров, которые любят практиковать скилы и ломать сайты за идею. Вполне очевидно, что если использовать их интерес, а также немного мотивировать их, то можно частично решить те проблемы, которые были озвучены:

1. Вайтхаты сами будут искать ресурсы, которые вышли из-под контроля, и таким образом можно охватить неплохую часть ресурсов.
2. Вайтхаты будут искать уязвимости, причем массово, при этом количество участников процесса позволит покрыть большую часть выпущенного кода.

Почему частично? Потому что, к сожалению, они не могут находить действительно сложные вещи, а, как правило, ограничиваются шаблонными проблемами, но зато массово, массово…

Результаты их работы будут контролироваться и управляться секурити-командой компании, что позволит легко идентифицировать такие ситуации, как duplicate или false positive. При этом в зависимости от подхода траты на это будут намного ниже, чем если бы пришлось нанимать пентестеров или людей в штате для такого же покрытия за те же сроки! Выгода очевидна. Но поговорим о мотивации, чтобы понять, как можно контролировать поток.

В зависимости от возможностей и политики компании пути мотивации масс могут быть разными. Рассмотрим классику.

Зал славы

Наиболее базовая и популярная схема. Если некто нашел уязвимость и добропорядочно сообщил о ней владельцу, то владелец на специальной «доске почета» — страничке в интернете вывесил имя, контакты или место работы героя. Соответственно, это самая дешевая для владельца схема. Для багхантеров же это имеет смысл — твое имя на сайте adobe.com или microsoft.com, черным по белому, ЧСВ же. А кроме того, для многих это попытка заявить о себе другим, например в Гугле на собеседованиях в секурити-команду часто спрашивают: «а вы в зале славы у нас висите?». Да и вообще, к резюме это будет неплохое приложение, так что не ЧСВ единым — практическая ценность у данной стены есть.

Конкурсы

Кроме того, есть возможность организовать конкурсы с победными местами и призами за них. Да, призы будут стоить денег, зато количество участников с полезным контентом перевесит в целом стоимость призов. Разумеется, это сложно делать на постоянной основе, но что можно отнести к плюсам — это контролируемый процесс и контролируемая нагрузка. Хотя эти плюсы могут быть сомнительны, но чаще всего это может быть либо на неофициальной основе, либо как проба пера.

Постоянные выплаты

Следующая возможность — организовать бюджет и на основе неких правил выплачивать за определенный тип работы вполне определенные деньги. Практически фиксированным образом, за определенные уязвимости и за определенные достижения компания выплачивает гарантированные деньги. Данный метод хорош, если мы относительно уверены в наших возможностях, поэтому при таком варианте сильно ограничивают scope — множество ресурсов, которые входят в данную программу.

На самом деле мотивация бывает разная, но работает любая из них. Многие готовы искать уязвимости за «спасибо на стене». Не верите — посмотрите сюда:

И это только маленький список компаний, тем не менее на их стенах полно людей, которые не пожалели времени и «за спасибо» нашли те или иные проблемы.

С конкурсами тоже все более-менее ясно. Думаю, все помнят конкурс, который проводила компания «Яндекс» в конце 2011 года, — «Месяц поиска уязвимостей» (в котором я даже занял второе место и выиграл какие-то деньги, которые успешно спустил в выплаты по кредиту… неудачник, да…). Затем конкурс плавно перерос в полноценную программу с фиксированными выплатами. Кроме того, известные деятели интернета, компания Badoo, как раз в эти минуты, пока я пишу строки, проводит свой месяц поиска уязвимостей — «Проверь Badoo на прочность!». В этом конкурсе компания платит уже за все уязвимости, которые разделены на пять уровней. Возможно, ребята хотят проверить свой потенциал и ограничили данный эксперимент месяцем, и кто знает, что будет дальше?

Ну а про полноценные программы ты и так знаешь, это и Яндекс, и Google, и Facebook. Особо тут добавить нечего — нашел уязвимость, отправил, тебе ее оценили и оплатили. Критерии оценки зависят от типа ресурса и вида уязвимости, что подробно описано в соответствующих разделах на сайтах этих компаний.

Все-таки тут у нас колонка авторская (типа универсальная отмаза), поэтому не могу не сказать и про свое видение и отношение к мотивации. Я, конечно, понимаю замечательный подход #NoMoreFreeBugs, но, люди, будьте людьми! Найти XSS, которую никто эксплуатировать не собирается, да еще если это «self XSS», и требовать за это деньги — как минимум неэтично. Вообще, этичность — это когда ты САМ хочешь сделать интернет безопаснее, а не потому, что ты ожидаешь получить плюшку. Поэтому мы в Nokia решили сделать все интереснее. Основная мотивация — зал славы, но тем ребятам, которые показали что-то достойное и интересное, мы будем дарить не деньги, а подарки (наши телефоны). Если уязвимость реальная и ей можно воспользоваться и сделать определенные действия, если можно получить что-то, то мы с удовольствием наградим героя. Очень важно понимать, что мы оцениваем реальную угрозу, а не теоретические проблемы с OWASP. Кроме того, мы ценим красоту и изящество, как и все прочие фанаты ИТ-секурити, так что нас можно удивлять :).

Алексей Синцов, defconrussia@gmail.comЭтот e-mail адрес защищен от спам-ботов, для его просмотра у Вас должен быть включен Javascript

Следующие статьи

Предыдущие статьи

Гость
19.09.2013 21:38:41

• Комментарии