четверг, 1 сентября 2016 г.

Государственная bug bounty: меняем баги на казенные деньги

Крупные ИТ-гиганты и популярные публичные сервисы, разработчики массовых информационных продуктов часто прибегают к использованию программ bug bounty - программ поиск уязвимостей и ошибок в собственных продуктах. Бегхантинг некогда начинавший свою историю в далеком 1996 году к сегодняшний дню оформился как самостоятельное направление и серьезно изменился. Сегодня существуют специальные команды экспертов-исследователей специализирующихся на этом ремесле. Программы bug bounty запускают и на государственном уровне, в частности стало известно известно и привлечении white-hacker Министерством обороны США. А в недавнем времени стало известно об инициативе МинКомСвязи разрабатывающей стратегию запуска отечественной государственной программы поиска уязвимостей.


Bug bounty или охота за ошибками

За последнее несколько лет программы bug bounty значительно изменились, если раньше это было больше похоже на занятие хобби энтузиастов из области "hacker culture", то теперь это самостоятельная  деятельность по поиску уязвимостей, которая в некоторых случаях приносит весьма не плохой доход ее авторам.  

Крупнейшие гиганты ИТ-отрасли, например, такие как Facebook, Yahoo!, Google, Reddit, Square,  Microsoft. имеют свои собственные программы по поиску уязвимостей в собственных продуктах. Не отстают и отечественные компании -  социальные сети Одноклассники и Вконтакте, а так же национальный поисковик Яндекс и группа компаний Mail.Ru.

Давайте заглянем глубже, чем же так интересны bug bounty для компаний? Большую роль для компаний играет экономический фактор. Так, если совокупная стоимость bug bounty оказывается значительно дешевле, чем найм отдельных экспертов или хакерских групп для проведения аудита информационной безопасности и тестов на проникновение. Кроме того, не маловажную роль играют и сроки проведение программы,  ведь ресурсы и количество многочисленных багхантеров (людей, занимающихся поиском уязвимостей) гораздо больше чем небольшой группы экспертов . 

Стоит заметить, что, в большинстве случаев багхантеры редко находят действительно сложные и критичные ошибки в работе продукта. Подавляющая часть исследователей быстро просматривает сервис на простые и широко распространенные ошибки, использует автоматические средства тестирования в надежде найти что-то более менее существенное и заработать на этом вознаграждение, а потом переходят к следующей компании. Бывали случаи, когда не дождавшись реакции от разработчиков продукта или сервиса, исследователь  выкладывал уязвимость в открытый доступ. Такое случилось, например, с социальной сетью «ВКонтакте». Не этичные исследователи могут найти 0-day уязвимость или проблему требующую выполнения сложных операций по ее устранению и продавать эксплоит на черном рынке.

Еще задолго до широкого распространения программ bug bounty, внутри сообщества whitehat-хакеров (занимающихся исследованиями без противозаконных целей) сформировался даже своеобразный кодекс чести, согласно которому после нахождения уязвимости информация о ней в первую очередь предоставляется компании, в сервисе которой эта уязвимость была найдена, а в общий доступ попадает после ее устранения. О кодексе этичных исследователей в одной из воих заметок писал наш коллега Алексей Лукацкий

Bug bounty как высокооплачиваемая работа

Известный российский багхантер Иван Григоров в своем интервью порталу «Хабрахабр» рассказывал, что исследователи, занимающиеся поиском уязвимостей на постоянной основе, способны зарабатывать своим ремеслом до 25 тысяч долларов в месяц, и то для способных экспертов это далеко не предел. 

Один из самых популярных ресурсов, с помощью которого большинство компаний и внедряют систему bug bounty, — платформа HackerOne. По приблизительным подсчетам платформа объединяет более 3000 ИБ специалистов  в 150 странах по всему миру. Стоит вспомнить, что  багхантинг как отдельное направление, в том виде, в котором мы знаем его сейчас, с whitehat-хакерами и программой вознаграждения, берет свое начало со спонсирования компаниями Facebook и Microsoft инициативы Internet Bug Bounty. Один из пионеров той эпохи компания Netscape занимающаяся продвижением браузера Navigator  собственно и подарила подобным инициативам их текущее имя. В те далекие годы один из сотрудников Netscape в заметил, что многие из преданных фанатов продуктов компании являются при этом специалистами в различных технологичных сферах и предложил платить им за участие в разработке проекта, а также впервые использовал для описания этого процесса словосочетание «bug bounty»

Первым же подобием программы по поиску уязвимости можно назвать инициативу одного из самых известных математиков и компьютерных специалистов прошлого века Дональда Кнута. За каждую найденную в своей самой известной книге «Искусство программирования» ошибку он высылал внимательным читателям по почте чек на один шестнадцатеричный доллар ($2.56). 

Государственная программа США по поиску уязвимостей

Совсем недавно, летом этого года стало известно о том, что Министерство обороны США с помощью программы поиска уязвимостей выявило в своих системах более ста потенциальных брешей. В проекте Пентагона приняло участие свыше 1400 специалистов Об этом в пятницу, 10 июня текущего года, сообщил министр обороны США Эштон Картер, подводя предварительные итоги программы, запущенной впервые в истории ведомства.

МинКомСвязи запускает государственную программу Bug bounty

Подобной инициативой поиска уязвимостей заинтересовались и российские государственные ведомства — об этом газете «Известия» рассказал в майском интервью замминистра связи Алексей Соколов. Представители Минкомсвязи разрабатывают стратегию запуска отечественной bug bounty для программ из реестра отечественного ПО .Причем, как поясняет источник, в будущем чиновники хотят запустить  программу вознаграждений, не только для ПО, входящего в реестр, но и для других важных систем.

«Одним из перспективных направлений деятельности государства в области информационной безопасности должна стать координация разработки рекомендаций в сфере безопасности и регламентов тестирования методов реагирования на киберугрозы, в том числе с возможностью внедрения программ поиска уязвимостей bug bounty. Мы прорабатываем возможность использования этого международного принципа как для продуктов, включенных в реестр отечественного ПО, так и для иных объектов, используемых, например, в АСУ ТП и иных критически важных инфраструктурах». -  цитирует слова замминистра связи Алексея Соколова Газета «Известия».

Так же Алексей Соколов пояснил:

Как правило, на сайтах, работающих по программе bug bounty, компании-разработчики выкладывают информацию о том, за какие найденные уязвимости сколько денег они готовы заплатить. Так называемые белые хакеры проверяют софт или сайты на разные уязвимости, и если находят, то через специальную форму рассказывают о том, что это за уязвимость, и описывают порядок действий, которые нужно проделать разработчику, чтобы ее воспроизвести. Если информация подтверждается, то хакеру выплачивается вознаграждение.

Дмитрий Кузнецов, директор по методологии и стандартизации Positive Technologies, полагает, что с запуском государственной bug bounty могут возникнуть определенные трудности:

«Основная проблема заключается в том, что для российского рынка ПО долгое время было характерно «наплевательское» отношение к качеству программного кода. Ситуация начала меняться в банковской сфере, когда ежегодные потери от хакерских атак стали исчисляться миллиардами рублей. Но в остальных областях ситуация остается плачевной. Изменить ее могут процессы импортозамещения, при которых разработчики заинтересованы в том, чтобы их программные средства находились в реестре отечественного ПО. Например, если у разработчиков среди прочих требований появится обязанность демонстрировать качество своих разработок с помощью таких вот программ bug bounty.

Кроме того, необходимо как-то оценивать результаты, так как сообщения об уязвимостях не всегда достоверны, а некоторые достоверные сообщения об уязвимостях разработчик не может воспроизвести из-за отсутствия нужной квалификации у своих специалистов. Таких сложностей достаточно много, и проведение программ bug bounty сегодня является прерогативой крупных компаний-разработчиков. Ситуацию можно изменить, если объединить усилия крупных заинтересованных потребителей, например тех же банков, естественных монополий, а также самих разработчиков, других заинтересованных лиц, и создать единую площадку для проведения таких исследований».

В пресс-службе Минкомсвязи пояснили прояснили ситуацию с ожиданиями по вознаграждению от государственной программы Bug bounty
Инициатива также поддерживается рядом крупных компаний с государственным участием и частного сектора, — отмечают в пресс-службе Минкомсвязи. — Использование системы грантов для частных лиц и организаций для стимулирования исследований в области обнаружения уязвимостей, по мировому опыту, является эффективной дополнительной мерой по обеспечению информационной безопасности программных продуктов. Расходование средств федерального бюджета на данные цели, а также привлечение иных государственных ресурсов не планируются.

Первая официальная биржа по продаже уязвимостей

Как стало известно "Ъ", в России заработала первая биржа, на которой разработчики и хакеры будут продавать уязвимости в популярном программном обеспечении, таком как Adobe Flash, Windows, Tor, iOS и др. Компания, основанная бывшим сотрудником Росфинмониторинга, намерена перепродавать информацию госструктурам, компаниям в сфере информационной безопасности и, утверждают источники "Ъ", спецслужбам. Стоимость некоторых брешей в программном обеспечении может достигать $500 тыс.

Команда из бывших хакеров, экспертов и разработчиков запустила по адресу expocod.com российскую биржу по покупке уязвимостей в популярном программном обеспечении. К примеру, согласно информации выложенной на сайте, за эксплойт в Adobe Flash компания готова заплатить $55 тыс., а уязвимости в различных браузерах могут быть проданы в пределах за $35-60 тыс.. Продолжает список дыра в анонимайзере Tor может быть куплена за $80 тыс., а найденные бреши в популярных операционных системах Windows, OS X, Linux - за $35-$80 тыс. 
Перепродавать же купленные эксплойты Expocod намерена государственным структурам и компаниям в сфере информационной безопасности (ИБ), говорится в официальном FAQ.

К концу года планируется. что оборот биржи Expocod от сделок по приобретению эксплойтов  составит порядка100-120 млн руб., оплата будет проводиться банковскими переводами или биткоинами, говорит Андрей Шорохов. Перепродавать все закупленное Expocod намерена ИБ-компаниям, которым эти эксплойты нужны для проведения тестов на проникновение, а также госорганам. "Мы оставляем за собой право выбирать, кому и что продавать,— это вопрос этики и репутации. Безусловно, каким-то борцам за независимость Сомали, КНДР или подобным им режимам мы продавать эксплойты не будем, а всем остальным — почему бы и нет",— рассуждает господин Шорохов. 

ФСТЭК и Банк данных угроз информационной безопасности



Как стало известно из информационного сообщения ФСТЭК от 6 марта  2015 г. N 240/22/879 "О банке данных угроз безопасности информации", регулятором создана некий официальный государственный банк данных угроз ИБ. Банк данных включает в себя базу данных уязвимостей, а также список и описание киберугроз, наиболее характерных для государственных информационных систем. Доступ к Банку угроз можно получить на официальном  web-сайте ведомтва http://www.bdu.fstec.ru/. А также с базой можно ознакомиться на официальном портале ФСТЭК в разделе «Техническая защита информации», выбрав подраздел «Банк данных угроз».

Банк данных включает в себя базу данных уязвимостей, а также список и описание киберугроз, наиболее характерных для государственных информационных систем (ГИС), систем персональных данных и автоматизированных систем управления производственными и технологическими процессами на критически важных объектах.

Как отмечается в сообщении ведомства, банк данных сформирован "с целью предоставления информационной и методической поддержки государственным структурам и организациям по определению и оценке угроз в информационных (автоматизированных) системах, а также обнаружению, анализу и устранению брешей в ходе создания и эксплуатации инфомационных систем, ПО и средств защиты информации".

Банк данных угроз безопасности информации предназначен для заинтересованных органов власти и компаний, которые занимаются созданием и эксплуатацией информационных (автоматизированных) систем, а также разработкой программного обеспечения и средств защиты информационной безопасности.

В банк данных будет включаться информация, опубликованная в общедоступных источниках, в том числе в сети Интернет, результаты проведенных государственными органами исполнительной власти работ, а также данных, поступивших от госорганизаций, компаний и иных лиц, связанных с защитой информации.

Так же  через форму обратной связи размещенную на сайте можно сообщить о новых угрозах или уязвимостях.


Подробнее:http://www.kommersant.ru/doc/3001495

Подробнее:http://www.kommersant.ru/doc/3001495

Подробнее:http://www.kommersant.ru/doc/3001495

Комментариев нет:

Отправить комментарий

Вы можете добавить свой комментарий...

Примечание. Отправлять комментарии могут только участники этого блога.