«Лаборатория Касперского» предлагает ИБ-специалистам до 100 тыс. долларов за обнаружение критической уязвимости в своих продуктах. Начиная с марта 2018 года максимальная награда в рамках багхантинговой программы компании увеличена в 20 раз и теперь вдвое превышает весь фонд, выделенный на отлов ошибок на старте проекта в 2016 году.

Взломщикам предлагается работать с новейшими бета-версиями основных продуктов «Лаборатории Касперского» — Kaspersky Internet Security 2019 и Kaspersky Endpoint Security 11. Наибольший бонус (20–100 тыс. долларов) получат хакеры, которые смогут удаленно выполнить код на пользовательской машине через канал обновления баз. В требованиях отмечается, что процесс должен проходить скрытно и оставаться активным до перезапуска системы.

Прочие способы выполнения кода в процессе с высокими привилегиями принесут взломщику 5–20 тыс. долларов. Если специалист получит доступ к пользовательским конфиденциальным данным или найдет другие ошибки, он сможет рассчитывать на выплату до десяти тысяч долларов — в зависимости от типа и сложности уязвимости.

В своем сообщении «Лаборатория Касперского» уточнила, что за полтора года с момента запуска программы «белые» хакеры нашли в ее продуктах более 70 ошибок, которые были затем исправлены.

Награда в 100 тыс. долларов в сфере багхантинга — явление уникальное. В 2017 году платформа HackerOne, на которой среди прочих запущена программа «Лаборатории Касперского», выяснила, что средняя выплата в 2016 году составила чуть менее 2 тыс. долларов. Годом ранее этот показатель находился на уровне 1,6 тыс. долларов.

В другом исследовании HackerOne сообщила, что отлов уязвимостей приносит лучшим специалистам в три раза больший заработок, чем традиционное программирование. Наибольший разрыв в оплате труда эксперты обнаружили в развивающихся странах — Индии, Аргентине и Египте. Российские пользователи HackerOne заработали в прошлом году чуть более 1,3 млн долларов, заняв четвертое место после США, Индии и Австралии. При этом для большинства «белых» хакеров материальная мотивация уступает желанию познакомиться с новыми технологиями, решить сложную задачу или просто развлечься.

В январе журналисты «Ведомостей» узнали, что российское правительство планирует запустить собственную программу по поиску уязвимостей в отечественных и зарубежных ИТ-системах. На эти цели предполагается выделить 800 млн рублей. По информации журналистов, некоторые продукты будут предложены хакерам без предварительного уведомления их разработчиков.

Багхантинговая инициатива «Лаборатории Касперского» входит в программу информационной открытости, которая была запущена в октябре 2017 года. В ее рамках независимые эксперты получат доступ к исходному коду продуктов компании, включая код обновлений ПО и антивирусные базы.

Программа также включает планы открыть к 2020 году три Центра прозрачности (Transparency Centers) в Азии, Европе и США, где клиенты и партнеры компании и представители госорганов смогут получить информацию о программном коде, обновлениях продуктов, антивирусных базах и решить другие вопросы кибербезопасности.

Категории: Кибероборона, Уязвимости