18 октября 2020

🧨 Bug Bounty: как заработать на взломе

Telegram: @vladared
Белый хакер на фрилансе может заработать $200 за 5 минут, но не спешите сразу ломать все подряд. Мы расскажем, как делать это легально с программами Bug Bounty.
🧨 Bug Bounty: как заработать на взломе

Этичный хакинг – одно из направлений в кибербезопасности. Сегодня мы расскажем, как белые хакеры могут заработать, охотясь за уязвимостям известных по всему миру компаний.

Bug Bounty – программа вознаграждения, по которой исследователи (хакеры) ищут пробелы в цифровой безопасности компании. Когда заказчик решает воспользоваться услугами взломщиков, разрабатывается специальный документ – программа Bug Bounty. Иногда она зашивается в другие документы по безопасности. Там описываются условия, с учетом которых можно отправляться на поиски багов.

Если хакер первым находит проблему и высылает понятный и правильно оформленный отчет, он получает вознаграждение. Вознаграждение – не всегда деньги, поэтому внимательно читайте политики (программы), если вы планируете зарабатывать таким способом. В Bug Bounty хакеры идут не только за материальной наградой. Некоторые ищут опыт, зарабатывают репутацию, а также решают захватывающие задачи с сервисами и продуктами, которые их больше всего интересуют.

Иногда компании в своих программах публикуют благодарности конкретным исследователям (хакерам), что тоже может быть форматом награды или приятным дополнением к деньгам. Как пример: Discord и Netflix.

🧨 Bug Bounty: как заработать на взломе

В свою очередь для компаний Bug Bounty – это шанс избежать многомиллионных затрат и репутационного ущерба в случае реального взлома.

Важно! Не путайте программы Bug Bounty с пентестом. Во втором случае заключается контракт с заведомо квалифицированным сотрудником, у которого есть четкие дедлайны. Оплата идет за время, а не за нахождение уязвимостей.

Программы Bug Bounty

Программы бывают публичными и приватными. Первые доступны всем, хотя иногда можно наткнуться на требования к опыту и предыдущим результатам. В приватные программы компания сама отбирает подходящих ей специалистов. Если вас пригласили в приватную программу, количество конкурентов существенно меньше, а потому шансы заработать выше.

Обычно заказчики начинают с приватных программ. Когда они уже в состоянии обработать большое количество отчетов, некоторые переходят в публичный формат. В свою очередь хакеры, у которых не было опыта в Bug Bounty, начинают с публичных программ, чтобы собрать портфолио и заслужить хорошую репутацию.

Программы размещаются на собственных сайтах заказчиков и в специальных платформах (подробнее о них – ниже). Многие компании создают такие программы, поэтому если вам хочется исследовать какую-то определенную организацию, стоит поискать информацию о Bug Bounty в ее документации по безопасности.

Платформы для взаимодействия хакеров и компаний

Чтобы компаниям было проще находить исследователей, а исследователям – интересующие программы Bug Bounty, существует много специальных платформ. Там происходит общение, туда хакеры присылают отчеты, а компании платят через эти системы вознаграждения.

1. HackerOne стартап, который одним из первых начал продвигать тему краудсорсинговой безопасности. Сейчас это одна из самых популярных платформ для программ Bug Bounty. Чтобы принять участие в поиске багов, достаточно зарегистрироваться. Для новичков есть бесплатное обучение.

Чтобы вас пригласили на привлекательные приватные программы, нужны хорошие показатели. В HackerOne такой показатель – репутация, которая начисляется в формате очков в зависимости от размера вознаграждения и критичности уязвимости. В то же время репутация может снижаться, если вы посылаете плохие отчеты или спам.

В разделе «Hacktivity» можно изучить последние найденные уязвимости. В профилях компаний еще есть раздел «Thanks» – что-то вроде доски почета.

🧨 Bug Bounty: как заработать на взломе

Подробнее обо всех нюансах работы вы можете узнать из документации. Саму платформу HackerOne тоже можно проверять на уязвимости: у нее есть профиль на сайте.

2. Bugcrowd – достаточно популярная платформа, которая используется рядом известных компаний. У них есть таксономия серьезности уязвимостей, по которой оценивается работа хакеров и назначается вознаграждение. Компаниям не нужно отдельно прописывать в политиках, какие уязвимости к какому уровню серьезности относятся.

Образовательные программы здесь скорее для тех, у кого уже есть база по кибербезопасности. Они знакомят хакеров с особенностями работы с Bug Bounty. Уроки состоят из видео, презетаций и лабораторий для ДЗ.

В профилях организаций есть раздел с объявлениями («announcements»), где публикуются апдейты по разным вопросам. Те хакеры, которые отправили хотя бы один релевантный отчет по этой программе, публикуются в разделе «Hall of fame».

🧨 Bug Bounty: как заработать на взломе

За хорошие отчеты дают очки. Еще есть значки за достижения, прямо как в игре.

🧨 Bug Bounty: как заработать на взломе

Значки зарабатываются по уровням, с накоплением количества отправленных отчетов и найденных уязвимостей.

🧨 Bug Bounty: как заработать на взломе

Детальную информацию об использовании платформы Bugcrowd можно найти здесь.

3. Synack – платформа, автоматизирующая поиск эксплуатируемых уязвимостей для последующего расследования хакерами-фрилансерами. В отличие от предыдущих платформ, здесь хакеры проходят тщательный отбор. Только 10% кандидатов в итоге попадает в Red Team. Почитать подробнее о процессе отбора. А еще у них есть милота – маленький гайд для близких людей этичных хакеров.

4. Intigriti – европейская платформа. Перед регистрацией аккаунта лучше внимательно ознакомиться с ее условиями. Что касается обучения, создатели платформы предлагают посмотреть курс анимированных видео про разные уязвимости, а также гайд по написанию отчетов и подборку инструментов для хакинга. Исследователи с наилучшими результатами публикуются в «leaderboard».

Адекватных платформ с разными условиями немало. Другие варианты нетрудно в Reddit-комьюнити и на GitHub, но наиболее известные компании публикуют свои программы на HackerOne и Bugcrowd.

Какими бывают условия

В своих программах Bug Bounty большинство компаний указывают:

  1. где можно искать уязвимости: веб-приложение, мобильное приложение, определенные домены и др.;
  2. размер и условия вознаграждения;
  3. требования к специалисту;
  4. вопросы раскрытия уязвимости в публичном доступе;
  5. проводить атаки можно только на принадлежащие вам аккаунты;
  6. по вашему отчету у аналитиков безопасности конкретной компании должно получиться воспроизвести найденные уязвимости;
  7. известные ошибки, чтобы минимизировать повторы;
  8. раздел safe harbor (юридическое убежище) – условия защиты от ответственности за нарушение законодательства;
  9. компаний интересует в первую очередь безопасность данных их пользователей. За нахождения уязвимостей, с помощью которых можно получить доступ к персональным данным, – самое высокое вознаграждение;
  10. Социальная инженерия запрещена.

Примеры условий Bug Bounty от известных компаний

Apple

Проблема должна быть обнаружена на последних обнародованных версиях ПО. Если Apple не была знакома с обнаруженной проблемой, то можно заработать дополнительные 50% от указанного вознаграждения. Определены категории, где можно искать уязвимости, но отмечается, что если баг найден где-то еще и он значительно угрожает пользователям, хакеру тоже заплатят. Вознаграждение: от $5000 до 1 млн.

Telegram

Раньше Telegram проводил конкурсы на взлом, но у сервиса есть и программа Bug Bounty. Если вы находите уязвимости в приложении или протоколе, которые влекут за собой изменения в коде, сервис заплатит от $500 до 100 000 и даже больше.

Tinder

У них приватная программа, но можно исследовать и посылать отчеты, которые одобрят или нет. Запрещено использовать инструменты автоматизированного сканирования и тестировать DoS-атаки.

Airbnb

Указывает особенности тестирования разных продуктов. Оплата до $15 000. Нельзя посылать вопросы по найденным уязвимостям в службу поддержки. Это прерывает работу.

ClickUp

Заинтересованы в поиске уязвимостей только на app.clickup.com. Там данные пользователей. Списком отмечаются релевантные и нерелевантные уязвимости. Награду можно получить только если вы не из стран, на которые наложены санкции США. По деньгам $25-250.

Чего ожидать от Bug Bounty

  1. Для начала у вас должна быть хотя бы база по кибербезопасности, но даже если вы новичок, многие платформы предлагают бесплатные материалы для обучения.
  2. Это совсем не то же самое, что и пентест. Даже если вы уже опытный хакер, все равно придется подучиться.
  3. Это удаленная и гибкая работа.
  4. Для большинства исследователей это хобби и дополнительный заработок. Только 20% хакеров работают фул-тайм.
  5. Вы можете остаться без вознаграждения. Платят только тому, кто первым нашел баг. Если вы пару недель работали над какой-то уязвимостью, но конкурент загрузил отчет раньше, денег вы не получите.
  6. Чтобы быть успешным исследователем, сконцентрируйтесь только на нескольких программах (компаниях). Таким образом у вас получится находить более серьезные уязвимости.
  7. Качественные отчеты очень важны, ведь через них вы продаете свою работу. От отчета зависит, заплатят ли вам деньги и сколько.
  8. Внимательно читайте программы Bug Bounty компаний, если не хотите стать фигурантом уголовного дела!
***

Хочу научиться программировать с нуля, но не знаю, с чего начать. Что делать?

Можно учиться самостоятельно (долго) или пойти на курсы с преподавателями (быстро). Плюс нужно учитывать, что джунов много, конкуренция выше и работодатели повышают порог вхождения при найме на работу. Чтобы получить актуальные знания, мы в proglib.academy запустили курсы:

  • Основы программирования на Python.
  • Профессия Python-разработчик.
  • Алгоритмы и структуры данных.
  • Математика для Data Science.
  • Профессия Data Science.
  • Frontend Basic: принцип работы современного веба.
  • Профессия Фронтенд-разработчик.
  • Обработка естественного языка. Полный курс.

На подходе еще больше 10 курсов для взрослых и детей.

Комментарии

ВАКАНСИИ

Добавить вакансию
Разработчик C++
Москва, по итогам собеседования

ЛУЧШИЕ СТАТЬИ ПО ТЕМЕ