03.10.2018, 10:40

Честный взлом: сколько украинские компании платят белым хакерам

Фото: iStock/Global Images Ukraine

Пока один Uber тратит на услуги белых хакеров миллионы долларов, украинские компании только вникают в тренд. Не скупятся ли они на проверки?

Реклама

Уже сейчас крупные компании тратят сотни тысяч, а то и миллионы долларов на услуги белых хакеров. К примеру, согласно открытой статистике платформы Hackerone, где компании встречаются с белыми хакерами, Uber потратил более $1,6 млн. Там же можно посмотреть гонорары, которые гигант выплачивал хакерам: встречаются цифры как $500, так и $10 000 и $17 500. Twitter за все время выплатил хакерам более $996 000. PornHub - более $200 000. А Samsung однажды обещал такую же сумму тому, кто найдет уязвимости в его линейке продуктов.

Согласно подсчетам аналитической компании Gartner, сегодня 20% процентов компаний из списка Fortune Global 500 применяют аутсорс подход к кибербезопасности. По прогнозам к 2020 году эта цифра должна увеличиться в 2 раза - до 40%. В частности речь идет о санкционированных попытках взлома своих IT-систем.

LIGA.net решила выяснить, используют ли услуги белых хакеров украинские компании и сколько они за это платят. 

Направо пойдешь - бюджет потеряешь

Чтобы обезопасить себя от киберуязвимостей, компании могут пойти тремя тропинками.

Правая. В штате компании содержится более-менее крупный “киберотдел”, который занимается  защитой всех систем компании и сам ищет в них уязвимости.

Средняя. У компании есть небольшой штат сотрудников-безопасников. Однако чтобы сделать их работу эффективнее, компания периодически заказывает аудит уязвимостей у консалтинговых компаний. И дальше их специалисты на протяжении какого-то времени ищут дыры в защите.

Левая. Компания обращается к белым хакерам, чтобы те протестировали ее системы на наличие уязвимостей. С этим помогают так называемые Bug Bounty платформы, которые объединяют таких хакеров. Такой путь сейчас набирает все большую популярность

Честные взломщики

Bug Bounty платформа - это такой себе маркетплейс, на котором вместо различных продавцов товара находятся белые хакеры. Компании приходят к ним и просят: протестируйте наши системы, а мы заплатим вам деньги.

Главное преимущество такого варианта для бизнеса - это то, что он платит не за процесс, как в случае с консалтинговыми агентствами, которым нужно платить, даже если они ничего не обнаружили, а за конкретные найденные уязвимости. Обычно компаниям выгодно участвовать в программе Bug Bounty на протяжении долгого времени - и это серьезно их усиливает. Ведь над попытками поломать IT-системы работают сотни белых хакеров с разным опытом и подходами.

“Как показывает практика, традиционные пентесты (попытки проникновения в систему - Ред.) показывают намного меньшую эффективность ввиду того, что обычно проверка занимает ограниченный промежуток времени, оплата происходит за процесс, а не результат, и самое главное - это ограниченные ресурсы и навыки тех, кто это делает”, - рассказывает Евгения Брошеван, сооснователь Hacken. В эту эстонскую компанию с R&D офисом в Украине входит Bug Bounty платформа с 700 хакерами.

Таких платформ в мире около 20. Хакеры получают за найденные уязвимости деньги (чем критичнее уязвимость, тем больше), очки репутации (которыми соревнуются между собой) и дополнительные подарки от компаний.

Украинцев среди белых хакеров, как ни странно, немного. Так, среди 700 хакеров платформы Hacken только 5% наших земляков. Среди клиентов компании также больше зарубежных компаний. Но есть и украинские.

Евгения Брошеван говорит, что в Украине компании платят хакерам от $50 за мелкую уязвимость до $1500-2000 за критическую уязвимость. По меркам Европы это небольшие суммы.

Bounty от государства

Интересно, что в Украине уже существует и bug bounty программа для государственных сервисов. Она создана на базе сервисов BRDO.

“Хакеры реально нашли уже около 10 уязвимостей в сумме на двух ресурсах, а мы исправили их сейчас. Мы оцениваем этот проект как очень успешный и хотели бы распространить такую практику на все остальные госресурсы”, - отмечает операционный директор BRDO Алексей Дорогань.

Бояться слива госданных в этом случае не стоит.

“Тестирование происходит на "зеркальных" копиях наших сервисов с ложными данными, которые специально размещены на отдельных серверах и доменах”, - отмечает Дорогань.

Экономные и не очень

Первая публичная Bug Bounty программа была начата в 2012 году ПриватБанком, который разместил все ее условия на своем сайте.

Только за текущий год этот банк выплатил более 300 000 грн вознаграждений. А получил 120 подтвержденных сигналов об уязвимости. При этом, говорят в пресс-службе, критических уязвимостей не было. Однако в июле структура выплатила $500 багхантеру, который нашел значимый баг в реализации одного из открытых API ПриватБанка.

“В его сигнале было описано, как используя наш сервис, реализовать XML-атаку, которая потенциально даст возможность злоумышленнику провести сканирование портов нашего сервера, а при определенных условиях может привести к отказу в обслуживании, подделке запросов на стороне сервера”, - рассказывают в Привате.

Пресс-секретарь Украинского киберальянса Шон Таунсенд добавляет, что Bug Bounty Приватбанка работает довольно эффективно, хотя и не без нюансов. Максимальную награду в $1000 он считает довольно скромной для банка, да и нематериальные поощрения в Привате тоже отсутствуют.

Есть еще одна украинская компания, которая много платит за услуги белым хакерам и не стесняется говорить об этом - это bitcoin-агентство KUNA. Именно она платит за найденную критическую уязвимость намного больше, чем в среднем по рынку - $5000.

Как рассказал учредитель компании Михаил Чобанян, с сентября 2016 года KUNA потратила на услуги белых хакеров около $50 000.

“Конечно, мы будем продолжать пользоваться их услугами. Как по мне, это единственный нормальный способ защиты”, - отмечает Чобанян.

Казусы и проблемы белого хакинга

По словам Шона Таунсенда, иногда организации выплачивают вознаграждение, не оформляя программу официально. Так, например, один из безопасников на спор в $3000 расшифровал "нерасшифровываемые" пароли rabota.ua. Или наоборот - приватно обещают вознаграждение и не выплачивают его: так, мол, поступил с другим волонтером один из украинских мобильных операторов.

“В целом, функционированию подобных программ здорово мешает существующее законодательство и общее компьютерное бескультурье. Пока бизнес воспринимает Bug bounty как дешевый способ проверки безопасности, а полиция игнорирует всё кроме формального состава, Bug bounty в Украине полноценно работать не могут”, - считает пресс-секретарь Украинского киберальянса.

Тем самым мобильным оператором, который засветился в двоякой истории с белым хакером, был Киевстар. Ранее компания уже заявляла, что специалист не прилагал усилий для поиска уязвимостей в программных продуктах, а хотел получить вознаграждение за случайно попавшую ему в руки информацию. Потому, дескать, и сотрудничество с ним не срослось. Свою программу bug bounty оператор реализует с 2017 года.

“Компания выплачивает вознаграждения только за те предложения, которые соответствуют целям программы. За время действия проекта было выплачено вознаграждений на сумму $30 820. Наибольшая сумма вознаграждения – $1500”, - комментируют в Киевстар.

Сосед по рынку - компания Vodafone - тоже практикует белый хакинг. По информации от пресс-службы, именно с помощью него накануне запуска одного из продуктов оператора удалось найти и ликвидировать уязвимость. Последние несколько лет в компании также работает “штатный хакер”.  

В Новой Почте же только готовятся к запуску программы Bug Bounty и планируют его на второй квартал 2019 года.

“Мы планируем воспользоваться услугами одной из всемирно известных компаний, которая работает в этой сфере и имеет договоренности с сообществами хакеров, а также эффективные системы вознаграждений. Платформа по прозрачному механизму распределяет вознаграждение между теми хакерами, которые найдут уязвимости”, - говорит IT-директор Новой Почты Андрей Покотилов.

Как отмечает сооснователь Hacken Евгения Брошеван, многие компании, в частности украинские банки и стартапы, участвуют в Bug Bounty программах в приватном режиме и не хотят рассказывать об этом.

“Это одна из основных проблем. Все боятся и не хотят привлекать к себе дополнительное внимание”, - говорит она. 

Антон Кобылянский
корреспондент
Антон Кобылянский
Евгений Шишацкий
корреспондент рубрик Технологии, Телеком, Свой бизнес
Евгений Шишацкий
Маша Ксендзик
Корреспондент раздела Телеком, Технологии, Свой бизнес
Маша Ксендзик
Если Вы заметили орфографическую ошибку, выделите её мышью и нажмите Ctrl+Enter.