Собственное исследование платформы Bugcrowd показало, что за прошлый год число white-hat специалистов выросло почти в полтора раза. Корпоративные заказчики обращаются к профессионалам ИБ, чтобы найти бреши в своих системах, возвращая хакеров в рамки законодательства.

В последние годы деньги за обнаруженные бреши можно было получить у Microsoft, Facebook, Tesla и прочих технологических гигантов. В России подобными проектами известен Павел Дуров — еще в 2013 году он пообещал $200 000 тому, кто сможет прочитать его зашифрованную переписку в Telegram. Как правило, вознаграждение оказывается гораздо меньше: в Tesla за уязвимость платят до $10 000, в Dropbox — чуть меньше $5000, в Facebook установлен фиксированный тариф по $500 за баг. В настоящее время программы bug bounty есть у крупных организаций вроде Mail.Ru Group и «Лаборатории Касперского», и компаний поменьше — например, у оператора электронных платежей «Центральная касса».

«Белый» хакер может получить деньги напрямую от компании или через посредническую платформу. Одна из крупнейших подобных площадок Bugcrowd объединяет более 22 тысяч специалистов, которые получили свыше 2 млн долларов за уязвимости в продуктах Microsoft, Western Union, Tumblr, MasterCard, Pinterest. Это вовсе не рекорд — на площадке HackerOne пользователи заработали уже более 17 миллионов долларов. Деньги поступили от Uber, Yahoo, Starbucks, Adobe, уже упомянутых «Лаборатории Касперского» и Mail.Ru Group.

Для white-hat-взломщиков подобные сервисы — это один из немногих легальных источников заработка. Письмо с просьбой заплатить за информацию об уязвимости может привести в суд — подобные действия слишком похожи на шантаж. Кроме того, бизнес неохотно идет на письменные гарантии, и инициативный хакер может остаться ни с чем. Сама по себе практика оплаты подобных услуг появилась не так давно. Долгое время считалось само собой разумеющимся, что добросовестный ИБ-специалист довольствуется гипотетическим вкладом в борьбу против киберпреступников. Только в 2009 году на канадской конференции CanSecWest эксперты Алекс Сотиров (Alex Sotirov), Дино Дай Зови (Dino Dai Zovi) и Чарли Миллер (Charlie Miller) запустили движение No More Free Bugs («Больше никаких бесплатных багов»), призвав коллег требовать оплату за свой труд. По словам Дай Зови, на решение во многом повлияла беззащитность «белого хакера» перед законом, равно как и тот факт, что прибыль от устранения бреши значительно превосходит самые смелые запросы ИБ-специалиста.

С развитием электронных сервисов программы bug bounty запускают и организации вне высокотехнологичного сектора. По словам исполнительного директора HackerOne Мартена Микоса (Marten Mickos), в 2016 году 41% проектов пришелся на медиа, индустрию развлечений, финансовые услуги, электронную коммерцию, государственные организации. Так, программа Министерства обороны США Hack the Pentagon объединяет сразу несколько инициатив, направленных на безопасность нескольких родов войск. На призыв ведомства откликнулись хакеры из более чем 50 стран, включая Россию, Индию, Австралию, Великобританию и другие. Они обнаружили в информационных системах три тысячи лазеек, в том числе для SQL-инъекций, удаленного выполнения кода, обхода систем аутентификации и прочих атак.

Другой примечательный пример: известный портал PornHub заплатил хакерам $20 000 за уязвимость, которая позволяла загружать произвольный код. Награду получил Руслан Хабалов, инженер информационной безопасности, который работает в швейцарском офисе Google. Руслан относится к самой большой демографической группе среди white-hat специалистов. Из отчета Bugcrowd следует, что 60% участников платформы работают в ИБ менее трех лет, а 15% респондентов отнесли себя к студентам. Основатель Bugcrowd Кейси Эллис (Casey Ellis) отмечает, что в индустрии практикуется меритократия — результаты работы говорят больше, чем строчки резюме. Большинство молодых хакеров считают отлов уязвимостей временным занятием, которое не принесет серьезные деньги.

Это справедливо и для отечественных специалистов, которые стабильно занимают первые места на white-hat соревнованиях, оправдывая распространенное представление о «русских хакерах». В прошлом году группа студентов и молодых ИБ-специалистов из Москвы и Санкт-Петербурга вошла в тройку сильнейших в мире на соревновании CTFtime — эта международная организация организует мероприятия в области информационной безопасности по всему миру. Россияне опередили более 12 тыс. команд, уступив только коллегам из Украины и Польши.

В большинстве случаев хакеры работают в одиночку. Так, Андрей Леонов, который в ноябре 2016 года получил от Facebook рекордные $40 000, говорит, что занимается багхантингом в свободное время. При этом на Bugcrowd Андрей входит в топ-100 исследователей. Награду от Facebook он заслужил, когда заметил, что функция «поделиться новостью» берет заглавное изображение со сторонних серверов без проверки. Это позволяет внедрить в пост зловредный скрипт. По классификации международного консорциума безопасности OWASP подобная уязвимость имеет самый высокий рейтинг.

Награда в $40 000 — редкость для white-hat хакеров, не говоря уже о российских специалистах. Низкая оплата труда наряду с возможностью обмена опытом с зарубежными коллегами заставляет отечественных ИТ-экспертов смотреть в сторону западных фирм, которые высоко оценивают советскую математическую школу. Однако российский бизнес активно конкурирует с ними — к примеру, «Лаборатория Касперского» стала одной из первых ИБ-компаний, запустившей свое представительство на HackerOne.

Категории: Аналитика, Кибероборона, Уязвимости