Миллион рублей за баг. Как зарабатывают на чужих ошибках
Сегодня мы узнали, что россиянин Андрей Леонов получил от Facebook рекордный гонорар за нахождение ошибки ($ 40 000), позволявшей взломать социальную сеть. Специалист по кибербезопасности рассказал «360» о том, что он был в курсе программы поощрения Facebook, которая открыта с 2011 года. Он заинтересовался вопросами информационной безопасности в 2007 году, а в конце 2013, когда информационная безопасность и программы поощрения исследователей стали входить в моду, стал в них учавствовать. «Да, я находил серьёзные уязвимости в разных сервисах и раньше. Но подавляющее их большинство — это закрытые программы» — о подробностях специалист распространяться не стал. Подобные случаи щедрости со стороны компаний отнюдь не редкость — хакеры очень часто помогают крупным сайтам не понести убыток от реальных кибератак. Краудсекьюрити сейчас в тренде среди компаний даже с самыми надежными системами защиты. В доказательство приводим крупные сервисы, предлагающие заработать виртуальным взломщикам «из народа» и комментарии экспертов. Одноклассники В 2013 году социальная сеть «ОК» запустила своеобразный конкурс по поиску багов под названием «Нация тестирует». Первые три человека, обнаружившие недочеты в системе, получили 500 $. Для конкурсантов был задан критерий «серьезности» для ошибки программиста: «К рассмотрению принимаются уязвимости, то есть недостатки в системе, используя которые, можно нарушить её целостность и вызвать неправильную работу Сайта. Уязвимость может быть результатом ошибок программирования, недостатков, допущенных при проектировании системы Сайта, ненадежных паролей, вирусов и других вредоносных программ, скриптовых, а также SQL-инъекций, позволяющих украсть пользовательскую сессию, загрузить контент (фото, видео и т. д.), не имея на это права …» Компания как будто спрятала баги по сайту в виде пасхальных яиц и решила похвалить самого находчивого хакера, который их отыщет. На самом деле этот конкурс — не что иное, как озабоченность тем, что собственные программисты не справляются, и берут за работу слишком много. Краудсекьюрити в действии. Как говорится, скупой платит дважды: с июля 2015 социальная сеть возобновила предложение. С этого момента любой желающий может доложить администрации о найденных уязвимостях и получить от $ 100. Вконтакте Подобная практика, правда менее официальная, существует и «Вконтакте»: молодые хакеры Артем Дизычев и Олег Варнов нашли XSS-уязвимость, дающую опытному программисту доступ к чужим аккаунтам. Они пишут: «Баг был очень серьезным, ведь активная уязвимость дает доступ к действиям от лица другого пользователя. Мы бы могли спокойно рассылать заявки в друзья, переводить себе голоса или, более того, могли бы и Дурова зацепить». Но добросовестные хакеры сообщили об ошибке администрации и получили за это от начальника отдела разработок по 150 000 рублей во внутренней валюте VK — голосах. Руководитель проектов по информационной безопасности в компании КРОК (компания-системный интегратор, входит в топ-10 крупнейших IT-компаний РФ) Павел Луцик поделился с «360» своим экспертным мнением: «Это достаточно популярная практика, многие софтовые компании, которые улучшают свои продукты, объявляют конкурсы на поиск „дыр“. Можно вспомнить такой случай: на заводе в Иране по обогащению урана использовался контроллер Siemens, в систему проник вирус Stuxnet и нарушил работу завода, фактически остановив производство. Чтобы сохранить свое лицо, Siemens выставил для всех желающих на обозрение свой контроллер для публичного поиска уязвимостей в своей системе. Правда, если хакер сотрудничает с официальной компанией, то, наверное, он уже не взломщик, а „white hat hacker“ (этичный хакер). Наша компания также иногда привлекает таких людей, когда для реализации проекта необходимы специфические компетенции. В любой компании, занимающейся информационной безопасностью, есть пул таких наемников». Google Богатыми поощрениями хакеров славится Google — в 2010 году компания анонсировала программу Chrome Rewards Program, в рамках которой выплатила взломщикам в общей сложности порядка $ 4 млн. Победитель контеста «Pwn2Own», 19-летний хакер под ником Pinky Pie получил максимальный приз — $ 60 000. Всего призовой фонд конкурса составил $ 1 млн. Американский хакер, взломавший iPhone и Sony PlayStation3 Джордж Хоц получил $ 150 00 и был радушно приглашен компанией на стажировку. Более того, в 2015 году поисковик открыл программу грантов для хакеров Vulnerability Research Grants. Выплаты варьируются от $ 500 USD до $ 3 133, причем для получения денег не требуется предъявить ошибки системы — их можно искать в процессе стажировки. Как видно, это имеет свой эффект — за время сотрудничества с хакерами было раскрыто более 500 существенных багов. Яндекс В 2015 году главный отечественный поисковик объявил «месяц на поиск уязвимостей» в своем браузере. Приз за первое место составил 500 000 рублей, за второе и третье — 300 000 и 150 000 соответственно. В условиях конкурса «Яндекс» пишет, что их интересуют «уязвимости, позволяющие нарушить конфиденциальность или целостность пользовательских данных». Поисковик пытался выяснить, есть ли в его системе защиты слабые места, о которых штатные программисты и не подозревают, и, похоже, преуспел в этом. Также с 2010 года при поддержке «Яндекса» и Digital Security в Москве проводится международная конференция Zeronights, посвященная кибербезопасности. В рамках конференции проводится конкурс HackQuest, в ходе которого участникам тоже предстоит взломать программы и обходить защиту. Победители получают бесплатное приглашение на конференцию и место в Зале славы, что среди хакеров считается очень достойной наградой.