Привет, Хабр! Я — Ксюша, младший специалист по ИБ в Selectel. 22 сентября 2012 года в России появилась первая программа багбаунти. Сегодня в индустрии уже работают несколько отечественных платформ, которые объединяют тысячи исследователей и десятки компаний. С каждым годом интерес к багбаунти увеличивается: все больше людей принимают в этом участие, а бизнес активнее разрабатывает собственные программы. Если впервые слышите об этих программах или хотите узнать, как они появились, вы обратились по адресу. В статье поделюсь историей возникновения и расскажу, как уже сегодня можно зарабатывать (и учиться) на чужих ошибках.

Что такое багбаунти

Багбаунти (англ. bug bounty) — это практика, когда компании предлагают исследователям вознаграждение за найденные уязвимости в своих продуктах и IT-инфраструктуре. Программы работают по такому принципу: участники по всему миру регистрируются на специальных платформах, знакомятся с правилами и приступают к проверке систем. После завершения задачи они передают обнаруженные баги организациям, а иногда помогают их устранить. 

Если для исследователей багбаунти — это возможность прокачать профессиональные навыки и заработать деньги, то для компаний — найти и исправить уязвимость. Им не нужно постоянно нанимать дорогостоящих пентестеров и тестировщиков. Проще заплатить определенную сумму за найденный баг, чем тратить месяцы на поиски кандидатов. Кроме того, в багбаунти могут участвовать как студенты, так и высококвалифицированные специалисты, штат которых не каждая компания может себе позволить. 

Selectel тоже поддерживает подобные инициативы. Недавно мы запустили спецпроект OpenFix, благодаря которому можно получить вознаграждение за найденные баги, рефакторинг и пакетизацию. Для участия выберите задачу, отправьте заявку и определите комфортный ритм работы. После публикации решения пакет будет распространяться как open source по пермессивной лицензии. А значит, все права останутся у вас.

Как возникла идея платить за ошибки

Идея вознаграждать за найденные ошибки родилась задолго до появления термина багбаунти. Один из первых случаев пришелся на XIX век, когда компания Bramah Locks Company создала замок, который, по заверениям производителя, невозможно было взломать. Организация предложила вознаграждение в размере 200 гиней (около 15 000-20 000 нынешних долларов) тому, кому удастся это сделать. Более 70 лет участники не могли его вскрыть, и лишь у умельца-слесаря Альфреда Чарльз Хоббса все-таки получилось.  

Замок работал по определенному алгоритму, известный только его создателю. А если есть алгоритмы — особенно обеспечивающие безопасность — всегда найдутся и те, кто захочет их обойти.

С появлением первых компьютеров пользователи начали писать код, настраивать системы и обходить лицензии. Именно тогда возникла культура искать ошибки в программах. В 1970 году появились первые клубы компьютерных энтузиастов, один из популярных — The Homebrew Computer Club («клуб самодельных компьютеров»). Он существовал для взаимной поддержки и обмена знаниями: участники делились комплектующими, схемами и редкими руководствами, а неожиданные, полезные находки и улучшения поощрялись. Строгих правил не было, но за обнаруженную ошибку или баг уже тогда можно было получить материальную награду или уважение в сообществе. 

Первые официальные программы багбаунти появились позже. В 1983 году компания Hunter & Ready объявила награду за найденные ошибки в операционной системе RTOS VRTX, в качестве призов были Volkswagen «жук» или 1 000 $. Спустя 12 лет сотрудники Netscape, производителя одного из первых веб-браузеров, обратили внимание, что пользователи самостоятельно ищут ошибки в их продукте. Так, в 1995 году Netscape запустила знаменитую программу bugs bounty, в которой тоже предлагала материальное вознаграждение участникам.

Несмотря на растущую популярность багбаунти, другие компании не спешили запускать собственные программы. Бизнес относился к подобной активности скептически: в то время компании обычно скрывали проблемы, а не приглашали посторонних их искать. С одной стороны, считалось, что новость о найденной уязвимости — гарантированный удар по репутации, а с другой — в компаниях просто не понимали возможного ущерба от допуска сторонних людей к «внутрянке». 

Даже если происходили утечки, это не влекло за собой штрафы и санкции. Из-за отсутствия четких требований регуляторов компании нередко относились к данным халатно, ограничиваясь минимальными мерами защиты.

Security Center

Рассказываем о лучших практиках и средствах ИБ, требованиях и изменениях в законодательстве.

Исследовать →

Эра «дикого» хакинга

Статьи 272 (неправомерный доступ к компьютерной информации) и 273 (создание, использование и распространение вредоносных компьютерных программ) были внесены в УК РФ еще в 1996 году. В России пока отсутствует четкое правовое регулирование деятельности белых хакеров. Это означает, что тестирование систем без явного разрешения — даже с целью помочь — может быть расценено как преступление. Крайне важно действовать только в рамках согласованных программ и не выходить за установленные границы.

В то время бизнес не делил хакеров на белых и черных — любые действия без разрешения считались злоумышленными. Публикация найденных багов часто приводила к серьезным проблемам и репутационным риском для компаний. 

Для багхантеров поиск уязвимостей и ошибок был сопряжен с риском. Одно из самых громких судебных разбирательств произошло с Дмитрием Скляровым, который разработал программу Advanced eBook Processor (AEBPR) в компании «Элкомсофт». На ежегодной хакерской конференции DEFCON-9 Дмитрий выступил с докладом об уязвимостях Adobe Acrobat eBook Reader, после чего его задержало ФБР. Суд оправдал исследователя, но некоторым везло меньше — иногда дела доходили до абсурда. 

В 2005 году исследователь Internet Security Systems (ISS) Майкл Линн и организаторы конференции Black Hat по безопасности в Лас-Вегасе получили запретительный судебный приказ, когда намеревались представить доклад о серьезных уязвимостях в ПО маршрутизаторов Cisco IOS. Линну пришлось уйти из ISS, но он все равно провел презентацию. Представители Cisco потратили восемь часов, чтобы вырвать страницы с описанием доклада из руководства конференции.

На этом фоне стало формироваться сообщество так называемых белых хакеров. Они, в отличие от злоумышленников, взламывали системы не для того, чтобы навредить, а чтобы сообщить о найденных уязвимостях и предложить пути устранения. Начала закрепляться практика, когда исследователь сначала приватно сообщает о проблеме владельцу системы, дает время на исправление и лишь потом публикует детали. Но даже это иногда не спасает от наказания — часто организации могут просто игнорировать предупреждения. 

В 2013 году студент обнаружил уязвимости в протоколе шифрования радиосвязи TETRA, который использует полиция, военные и другие службы безопасности. Парень немедленно проинформировал полицию, но не получил ответа. Уязвимость не устранялась в течение двух лет, и в 2015 он опубликовал результаты своего исследования в открытом доступе. Только после этого правоохранительные органы обратили внимание на проблему и обвинили его во взломе протокола, за что приговорили к 15 месяцам лишения свободы условно.

Систематизация программ

Постепенно идея привлечения сторонних исследователей получила полноценное развитие в IT-сообществе. Компании уже не были так скептично настроены, поэтому начали запускать собственные программы багбаунти. 

Одну из самых известных программ Zero Day Initiative запустила компания Tipping Point. Она оплачивала уязвимости с высоким уровнем воздействия и наличием PoC (proof-of-concept, демо-версий эксплойтов). На эту практику обратили внимание и технологические гиганты. В 2010 году ее переняла Google, в 2013 году — Microsoft, а затем и другие корпорации. Примерно в это же время на багбаунти выходят и крупнейшие российские компании: Яндекс в 2012 и VK в 2013 году.

Стартапы HackerOne, Bugcrowd и Synack предложили компаниям готовые площадки для запуска багбаунти. Они взяли на себя проверку исследователей, обработку отчетов и выплаты, превратив этот процесс в удобный сервис. Теперь организациям не нужно было строить собственную инфраструктуру — достаточно опубликовать правила и бюджет. 

Чтобы исследователи не заходили слишком далеко, компании стали формировать так называемый скоуп — перечень систем и методов, которыми компанию можно «ломать». Выход за рамки все еще может быть расценен как вторжение и точно не будет оплачиваться. 

Например, компания владеет доменами site.ru и super-site.ru. Первый находится в открытом доступе, а второй — только в приватном. Компания не готова выставлять второй домен на всеобщее обозрение, поэтому указывает в скоупе, что для тестирования разрешены только все поддомены *.site.ru. Если исследователь все-таки найдет домен super-site.ru и решит его протестировать, то награду за это не получит.

Успешный успех 

Оплата уязвимостей зависит напрямую от их критичности: чем серьезнее баг, тем больше денег за него выплатят. По данным HackerOne, в среднем за критические уязвимости в мире платят около 7 000 $. Выплата за более распространенные уязвимости может составить от 250 до 700 $ за штуку. При этом в 2018 году белые хакеры заработали 21 000 000 $ в общей сложности. 

Исследователь, который зарабатывал больше всех на HackerOne, получал в 40 раз больше медианной годовой зарплаты в Аргентине и в 6,3 раза больше медианной годовой зарплаты в Швеции.

Первым в мире хакером, который заработал миллион долларов на поиске уязвимостей, стал 19-летний Сантьяго Лопес из Аргентины, известный как @try_to_hack. Он начал использовать HackerOne в 2015 году и с тех пор нашел более 1 600 багов. Практика показывает, что компании готовы щедро вознаграждать белых хакеров за найденные и устраненные баги. 

На Хабре можно найти интервью с белыми хакерами из России — например, с Иваном Григоровым и Артемом Московским. Пока миллионом заработанных долларов, вроде как, еще никто не хвастался. Но миллионы рублей в месяц за уязвимости некоторые получают уже сейчас. 

В целом, с каждым годом объем и количество выплат только растет. В России за 2024 год белые хакеры заработали около 270 000 000 ₽. Средняя выплата за найденную уязвимость на платформе BI.ZONE Bugbounty — 40 000 ₽, а на Standoff 365 Bug Bounty — 70 000 ₽. Рекордную сумму выдали на Standoff Bug Bounty — 4 970 000 ₽ за один баг.

Сейчас в программах участвуют не только исследователи-одиночки, но и целые команды специалистов. Примерно для четверти всех багхантеров это подработка, которая позволяет им заниматься любимым делом, а еще для четверти — основная работа. Багбаунти становится не просто процессом по улучшению инфраструктуры в компаниях, но и полноценным бизнесом по поиску уязвимостей для багхантеров. 

А все так хорошо начиналось…

Несмотря на то, что профессия багхантера выглядит как работа мечты, с ростом популярности багбаунти-программ появляются и проблемы. Рассмотрим основные. 

Доступность входа в индустрию — и благо, и проклятье багбаунти. Участникам достаточно зарегистрироваться на платформе и начать искать уязвимости, за успешные находки выплачивают вознаграждение. Программы багбаунти привлекают огромное количество новичков, но часть из них подходит к процессу безответственно и отправляет отчеты с поверхностными находками или «низкокачественными уязвимостями» — например, отсутствие CSP-заголовков на тестовой странице.  

Такие отчеты создают информационный шум, усложняя работу как компаниям, так и модераторам платформ. На платформах обычно есть рейтинг лучших багхантеров, где обязательно учитывается не только количество уязвимостей, но и их критичность. А еще на странице программы сразу публикуется большой список: какие уязвимости принимаются, а какие — нет. 

Но, с другой стороны, и компании не всегда ведут себя этично. Некоторые игнорируют сообщения исследователей месяцами, не дают обратной связи, не обновляют статус уязвимости — а спустя полгода вдруг закрывают отчет со словами: «Спасибо, но это дубликат. Мы уже знали». При этом никакого вознаграждения, конечно, не следует. 

На платформах вроде Standoff 365 или BI.ZONE BugBounty появляются SLA (Service Level Agreements) — четкие обязательства по времени ответа и обработки отчетов. Например, компания обязуется подтвердить получение уязвимости в течение пяти рабочих дней и закрыть ее в зависимости от критичности — от 30 дней до полугода. Это снижает количество «зависших» отчетов, дает исследователям понимание, чего ожидать, и влияет на репутацию компании.

Заключение

Поиск уязвимостей и ошибок эволюционировал до целой индустрии багбаунти. Сегодня это один из инструментов обеспечения безопасности, который выгоден для обеих сторон: компании, которые выходят на багбаунти, выигрывают в качестве и доверии пользователей, а исследователи могут зарабатывать, занимаясь любимым делом и прокачивая навыки. 

Поскольку индустрия еще молодая, то существует ряд проблем и ограничений. Хватает и недобросовестных компаний, и излишне хитрых исследователей, и ограничений со стороны закона. Но даже так багбаунти остается одной из самых доступных и прозрачных площадок для входа в информационную безопасность, где каждый при достаточной настойчивости и навыках может проявить себя и получить за это признание и вознаграждение.

Мы развиваем SelectOS, чтобы сделать ее еще лучше. Участвуйте в программе OpenFix и получайте деньги за баги. Вы можете взять как уже определенные задачи на рефакторинг, так и найти свои уязвимости в составляющих. Такой подход поможет сделать будущее open source безопаснее.