Честный взлом: сколько украинские компании платят белым хакерам

Уже сейчас крупные компании тратят сотни тысяч, а то и миллионы долларов на услуги белых хакеров. К примеру, согласно открытой статистике платформы Hackerone, где компании встречаются с белыми хакерами, Uber потратил более $1,6 млн. Там же можно посмотреть гонорары, которые гигант выплачивал хакерам: встречаются цифры как $500, так и $10 000 и $17 500. Twitter за все время выплатил хакерам более $996 000. PornHub - более $200 000. А Samsung однажды обещал такую же сумму тому, кто найдет уязвимости в его линейке продуктов.

Согласно подсчетам аналитической компании Gartner, сегодня 20% процентов компаний из списка Fortune Global 500 применяют аутсорс подход к кибербезопасности. По прогнозам к 2020 году эта цифра должна увеличиться в 2 раза - до 40%. В частности речь идет о санкционированных попытках взлома своих IT-систем.

LIGA.net решила выяснить, используют ли услуги белых хакеров украинские компании и сколько они за это платят.

Направо пойдешь - бюджет потеряешь

Чтобы обезопасить себя от киберуязвимостей, компании могут пойти тремя тропинками.

Правая. В штате компании содержится более-менее крупный “киберотдел”, который занимается защитой всех систем компании и сам ищет в них уязвимости.

Средняя. У компании есть небольшой штат сотрудников-безопасников. Однако чтобы сделать их работу эффективнее, компания периодически заказывает аудит уязвимостей у консалтинговых компаний. И дальше их специалисты на протяжении какого-то времени ищут дыры в защите.

Левая. Компания обращается к белым хакерам, чтобы те протестировали ее системы на наличие уязвимостей. С этим помогают так называемые Bug Bounty платформы, которые объединяют таких хакеров. Такой путь сейчас набирает все большую популярность

Честные взломщики

Bug Bounty платформа - это такой себе маркетплейс, на котором вместо различных продавцов товара находятся белые хакеры. Компании приходят к ним и просят: протестируйте наши системы, а мы заплатим вам деньги.

Главное преимущество такого варианта для бизнеса - это то, что он платит не за процесс, как в случае с консалтинговыми агентствами, которым нужно платить, даже если они ничего не обнаружили, а за конкретные найденные уязвимости. Обычно компаниям выгодно участвовать в программе Bug Bounty на протяжении долгого времени - и это серьезно их усиливает. Ведь над попытками поломать IT-системы работают сотни белых хакеров с разным опытом и подходами.

“Как показывает практика, традиционные пентесты (попытки проникновения в систему - Ред.) показывают намного меньшую эффективность ввиду того, что обычно проверка занимает ограниченный промежуток времени, оплата происходит за процесс, а не результат, и самое главное - это ограниченные ресурсы и навыки тех, кто это делает”, - рассказывает Евгения Брошеван, сооснователь Hacken. В эту эстонскую компанию с R&D офисом в Украине входит Bug Bounty платформа с 700 хакерами.

Таких платформ в мире около 20. Хакеры получают за найденные уязвимости деньги (чем критичнее уязвимость, тем больше), очки репутации (которыми соревнуются между собой) и дополнительные подарки от компаний.

Украинцев среди белых хакеров, как ни странно, немного. Так, среди 700 хакеров платформы Hacken только 5% наших земляков. Среди клиентов компании также больше зарубежных компаний. Но есть и украинские.

Евгения Брошеван говорит, что в Украине компании платят хакерам от $50 за мелкую уязвимость до $1500-2000 за критическую уязвимость. По меркам Европы это небольшие суммы.

Bounty от государства

Интересно, что в Украине уже существует и bug bounty программа для государственных сервисов. Она создана на базе сервисов BRDO.

“Хакеры реально нашли уже около 10 уязвимостей в сумме на двух ресурсах, а мы исправили их сейчас. Мы оцениваем этот проект как очень успешный и хотели бы распространить такую практику на все остальные госресурсы”, - отмечает операционный директор BRDO Алексей Дорогань.

Бояться слива госданных в этом случае не стоит.

“Тестирование происходит на "зеркальных" копиях наших сервисов с ложными данными, которые специально размещены на отдельных серверах и доменах”, - отмечает Дорогань.

Экономные и не очень

Первая публичная Bug Bounty программа была начата в 2012 году ПриватБанком, который разместил все ее условия на своем сайте.

Только за текущий год этот банк выплатил более 300 000 грн вознаграждений. А получил 120 подтвержденных сигналов об уязвимости. При этом, говорят в пресс-службе, критических уязвимостей не было. Однако в июле структура выплатила $500 багхантеру, который нашел значимый баг в реализации одного из открытых API ПриватБанка.

“В его сигнале было описано, как используя наш сервис, реализовать XML-атаку, которая потенциально даст возможность злоумышленнику провести сканирование портов нашего сервера, а при определенных условиях может привести к отказу в обслуживании, подделке запросов на стороне сервера”, - рассказывают в Привате.

Пресс-секретарь Украинского киберальянса Шон Таунсенд добавляет, что Bug Bounty Приватбанка работает довольно эффективно, хотя и не без нюансов. Максимальную награду в $1000 он считает довольно скромной для банка, да и нематериальные поощрения в Привате тоже отсутствуют.

Есть еще одна украинская компания, которая много платит за услуги белым хакерам и не стесняется говорить об этом - это bitcoin-агентство KUNA. Именно она платит за найденную критическую уязвимость намного больше, чем в среднем по рынку - $5000.

Как рассказал учредитель компании Михаил Чобанян, с сентября 2016 года KUNA потратила на услуги белых хакеров около $50 000.

“Конечно, мы будем продолжать пользоваться их услугами. Как по мне, это единственный нормальный способ защиты”, - отмечает Чобанян.

Казусы и проблемы белого хакинга

По словам Шона Таунсенда, иногда организации выплачивают вознаграждение, не оформляя программу официально. Так, например, один из безопасников на спор в $3000 расшифровал "нерасшифровываемые" пароли rabota.ua. Или наоборот - приватно обещают вознаграждение и не выплачивают его: так, мол, поступил с другим волонтером один из украинских мобильных операторов.

“В целом, функционированию подобных программ здорово мешает существующее законодательство и общее компьютерное бескультурье. Пока бизнес воспринимает Bug bounty как дешевый способ проверки безопасности, а полиция игнорирует всё кроме формального состава, Bug bounty в Украине полноценно работать не могут”, - считает пресс-секретарь Украинского киберальянса.

Тем самым мобильным оператором, который засветился в двоякой истории с белым хакером, был Киевстар. Ранее компания уже заявляла, что специалист не прилагал усилий для поиска уязвимостей в программных продуктах, а хотел получить вознаграждение за случайно попавшую ему в руки информацию. Потому, дескать, и сотрудничество с ним не срослось. Свою программу bug bounty оператор реализует с 2017 года.

“Компания выплачивает вознаграждения только за те предложения, которые соответствуют целям программы. За время действия проекта было выплачено вознаграждений на сумму $30 820. Наибольшая сумма вознаграждения – $1500”, - комментируют в Киевстар.

Сосед по рынку - компания Vodafone - тоже практикует белый хакинг. По информации от пресс-службы, именно с помощью него накануне запуска одного из продуктов оператора удалось найти и ликвидировать уязвимость. Последние несколько лет в компании также работает “штатный хакер”.

В Новой Почте же только готовятся к запуску программы Bug Bounty и планируют его на второй квартал 2019 года.

“Мы планируем воспользоваться услугами одной из всемирно известных компаний, которая работает в этой сфере и имеет договоренности с сообществами хакеров, а также эффективные системы вознаграждений. Платформа по прозрачному механизму распределяет вознаграждение между теми хакерами, которые найдут уязвимости”, - говорит IT-директор Новой Почты Андрей Покотилов.

Как отмечает сооснователь Hacken Евгения Брошеван, многие компании, в частности украинские банки и стартапы, участвуют в Bug Bounty программах в приватном режиме и не хотят рассказывать об этом.

“Это одна из основных проблем. Все боятся и не хотят привлекать к себе дополнительное внимание”, - говорит она.