Що рухає мисливцями за багами: 6 стимулів

Свої програми для мисливців за багами - Bug Bounty - сьогодні з'являються у все більшого числа компаній. Тон тут як і раніше задають західні гіганти - Google, Apple, Facebook, Microsoft. Але за останні роки російський ринок все стрімкіше переймає світовий досвід: свої аналоги з'явилися у Mail.ru, банку Тінькофф, Qiwi, Яндекса і навіть у Мінкомзв'язку.

Хто і навіщо відловлює сьогодні баги? Що змушує сьогоднішніх хакерів шукати уразливості в системах?

Відразу скажемо, що мова не тільки і не стільки про гроші. Швидше це спроба зрозуміти образ думок і скласти збірний образ тих, хто допомагає робити цей світ безпечнішим.

Нещодавно ентузіасти ком'юніті Bugcrowd провели опитування серед "білих" хакерів і дізналися, звідки ті родом, яка в них освіта, кваліфікація і хакерський досвід, а також що ними рухає. У свою чергу, ми вирішили перевести їх звіт і поділитися його результатами з вами.

Навички та знання мисливців за багами досить великі. 95% опитаних вказали, що добре або дуже добре вміють тестувати веб-додатки , 48% - краще працюють з Android, 28% - з iOS, а 15% - з Інтернетом речей (IoT).

В цілому, спільнота хакерів - досить молоде: вік близько 60% опитаних - від 18 до 29 років, і ще 34% - від 30 до 44 років.

Велика частина опитаних - студенти і ті, чия робота не пов'язана з виявленням багів. При цьому 15% назвали вилов багів своєю основною діяльністю, але багато хто хоче зробити його такої. На думку Bugcrowd, число штатних хакерів буде рости.

Про це ж свідчать і дані звіту the 2016 Bug Bounty Hacker Report [Звіт про етичних хакерів і виявленні вразливостей, 2016 р] компанії HackerOne. 90% опитаних виявилися молодшими 34 років, а 43,5% - у віці від 18 до 24 років. Веб-додатки та тут виявилися улюбленою метою (77%).

При цьому за професією: 23% опитаних - розробники ПЗ і інженери, 17% - тестують системи на проникнення, а 15% - фахівці з інформаційної безпеки.

Так що ж змушує хакерів відловлювати баги?

гроші

Хакери по-різному дивляться на це джерело доходу. За даними Bugcrowd, деякі ентузіасти займаються зломом заради забави і щоб підзаробити. Для них пошук багів - це разовий дохід і, як правило, не основний вид діяльності: 22% з них - інженери або розробники ПЗ, 19% - тестують системи на проникнення, 18% - фахівці з інформаційної безпеки, а 16% - студенти.

При цьому для штатних хакерів виявлення помилок і вразливостей - основне джерело доходу, більше половини вважають його своєю основною професією, а зароблені гроші витрачають на життя і оплату рахунків. Найдосвідченіші хакери - віртуози в сфері безпеки - також вважають гроші головним стимулом, але в більшості своїй мають іншу основну роботу. Чим більше досвід і професіоналізм, тим більше можна заробити.

Згідно зі звітом компанії HackerOne за 2016 рік, фінансову винагороду - головний стимул для хакерів. 71,5% опитаних зізналися, що відловлюють баги заради грошей.

Як багато отримують хакери?
У подібній опитуванні взяли участь понад 600 хакерів з усього світу, які входять до співтовариства HackerOne. Отримані відповіді розподілилися наступним чином:

виклик

Наприклад, Матіас Карлссон, що спеціалізується на зломі веб-сайтів, на перше місце ставить інтелектуальний виклик. Крім того, в хакерському співтоваристві панує жорстка конкуренція.

"Я кинув виклик не тільки собі самому і творцеві системи, а й іншим досвідченим хакерам", - так він пояснює свій інтерес. Для нього рішення задачі набагато важливіше, ніж фінансову винагороду.

Мартен Мікос , CEO Hacker One, згоден, що інтелектуальний виклик - один з головних стимулів для хакерів. Більшість людей зі світу бізнесу лякаються при виявленні уразливості, але тільки не хакери. За його словами, для хакерів - це справжній скарб.

Інтелектуальний виклик найбільше мотивує допитливих новачків спільноти з вилову багів. Ці хакери стали заробляти на пошуку помилок і вразливостей менше року тому. Для більшості з них це не основна робота, але багато молодих хакери (55% у віці від 18 до 29 років) планують зробити її такою.

Професійний і кар'єрний ріст

За словами микоси, молодих хакерів також залучають можливості професійного і кар'єрного зростання. Новачки прагнуть напрацювати досвід. Згідно зі звітом компанії HackerOne, 64,3% опитаних хочуть скласти привабливе резюме: чим істотніше виявлені вразливості, тим серйозніше виглядає їх резюме.

"Якщо амбітний хакер виявить уразливість у Adobe, GM або іншої відомої компанії, то повагу йому забезпечено", - пояснює Мікос.

Крім того, за словами микоси, навчання мотивує і деяких хакерів постарше, але, скоріше, як можливість передавати свої знання іншим. Ці професіонали не тільки заробляють на вилові багів, але і хочуть ділитися своїми навичками з новачками.

Хоча пошук багів - ефективна форма навчання, багатьом хакерам ще важливо і підтримувати свої навички. Програми з виявлення вразливостей дозволяють їм завжди бути в курсі останніх тенденцій і методик, які вони можуть використовувати в штатній або позаштатній роботі.

Бажання робити добро

Микос зазначає, що багато хакерів хочуть приносити користь. Бажання допомагати цілком природно для людини, і тому у багатьох хакерів добрі наміри.

"Серед інших причин хакери завжди говорять про бажання" творити добро ", - пояснює він. - Звичайно, воно не на першому місці, але завжди на слуху".

Крім того, Карлссон вважає, що багато зломщики систем безпеки керуються бажанням внести вклад в загальне благо. За даними компанії Bugcrowd, альтруїзм - основний стимул для так званих "захисників", які прагнуть, перш за все, посилити захист Інтернету і тих продуктів, що вони використовують. У багатьох з них за плечима кілька років роботи в області безпеки: майже у третини (32%) - більше п'яти років, і у половини - більше трьох років.

патріотизм

Хоча патріотизм і не найбільший стимул для мисливців за багами, деякі з них все ж хочуть представляти свою країну у вигідному світлі. За словами микоси, особливо це стосується тих країн, що не славляться своїм внеском в інформаційну безпеку. "Білі" хакери прагнуть показати, що в їхній країні живуть технічно компетентні люди, які керуються добрими намірами.

Це весело

І нарешті, вилов багів - це просто весело.

"Багато хакери отримують справжнє задоволення від процесу і люблять працювати в команді, - говорить Мікос. - Для них це соціалізація". Друзі-хакери створюють "проектну команду" і працюють разом в онлайні або офлайні. Як пояснює Мікос, спільна робота допомагає підвищити продуктивність.

Як поліпшити вашу bug bounty-програму?

Все це добре, але чи можна підвищити не тільки продуктивність проектних команд, але і в цілому поліпшити ефективність вашої bug bounty програми? Відповідь - так. Розуміючи, як і чим живуть мисливці за багами, цього можна досягти. І ось чому.

Залежно від мотивації хакерів, ви можете по-різному вибудовувати свою взаємодію з ними, по суті, «граючи» чотирма змінними: змістом (scope) і типом програми (відкрита / закрита), винагородою (матеріальне / нематеріальне) і прозорістю (непрозорістю) підсумків програми. Погодьтеся, звучить здорово, тим більше, що для нашої зручності автори дослідження навіть розділили його учасників на умовних 5 категорій. Розглянемо кожну з них трохи докладніше.

Мисливці за знаннями

Риболовецьким багів час від часу, проте хочуть присвячувати цьому більше часу. Як правило, це новачки, які крутяться в цій сфері менше 2-х років.

Мотивація: Знання, змагальний аспект, «це весело».

Вік: більше половини - люди від 18 до 29.

Досвід: у 67% опитаних досвід становить менше 1 року.

Амбіції: Чи зацікавлені в побудові кар'єри в сфері ІБ - 38% хочуть в майбутньому займатися пошуком вразливостей все свій час, ще 28% хочуть зайняти пост провідного експерта з ІБ в одній з великих компаній.

любителі

В даному випадку любителі - це ті, хто в першу чергу дійсно люблять те, чим займаються. І саме тому роблять це дуже добре. Головна їхня відмінність від професіоналів в тому, що перші мають основну роботу в сфері ІБ, а пошук вразливостей для них - як side-проект для відомого музиканта: в першу чергу «для душі», а потім уже - джерело додаткового заробітку.

Мотивація: додатковий дохід, «це весело»

Досвід: найдосвідченіша категорія мисливців за багами. У 30% більше 5 років досвіду; 19% - від 3 до 4 років; 22% - від 1 до 2 років.

Професія: 22% інженери ПО або розробники; 19% - пентестери; 18% - інженери. безпеки.

На що звертають увагу при виборі програми: новизна і складність.

«Найманці»

У цю категорію потрапляють ті, хто приділяють роботі з пошуку вразливостей основний час. Для 55% з них полювання за багами - головне джерело заробітку.

Мотивація: ще більше грошей.

Географія: в основному жителі Індії.

Досвід: у 70% від 1 до 2 років досвіду.

Амбіції: більше половини опитаних хочуть зробити полювання за багами своєю основною роботою.

На що звертають увагу при виборі програми: широкий спектр завдань.

профі

Очевидно, це найдосвідченіші фахівці - 33% опитаних мають досвід більше 5 років в сфері ІБ. У більшості представників цієї категорії є основна робота, не пов'язана з пошуком вразливостей. І такий розклад їх цілком влаштовує. Як і любителі, більшість з професіоналів приділяють ловлі багів не більше 5 годин на тиждень.

Мотивація: змагальний аспект, підтримання кваліфікації, освіту, гроші.

Професія: 31% інженери безпеки або пентестери, 31% - розробники

На що звертають увагу при виборі програми: складність, широкий спектр завдань, можливість знайти серйозний баг.

«Безпечники»

Люди в найбільшою мірою заряджені на альтруїзм в хорошому сенсі цього слова. На відміну від інших, вони більш, ніж будь-хто інший хочуть зробити Мережу і екосистему безпечніше. Склад цієї «групи» вкрай неоднорідний: 40% - новачки, у яких за плечима менше 1 року досвіду; 50% можуть похвалитися досвідом більше 3-х років. Гроші дійсно для них не головне, проте близько 60% опитаних визнають важливість наявності компенсації в програмі. Майже половина «безпечники» шукають уразливості близько 5 годин на тиждень, чверть - 6-10 годин.

Мотивація: підвищення рівня безпеки.

Професія: 26% - розробники, 18% - інженери безпеки.

Амбіції: 34% хочуть стати експертом по ІБ, 32% мріють про кар'єру професійного мисливця за багами.

На що звертають увагу при виборі програми: новизна, широкий спектр завдань, висока ймовірність зловити вразливість.

Що з усім ці робити

Тип задач

Повторимося, розуміння психології хакерів - ваш ключ до ефективної програми bug bounty. Наприклад, профі, «найманці» та «безпечники» найчастіше воліють програми з широким спектром завдань. З іншого боку, така умова може створювати ряд труднощів з управління проектом і командою - змістити фокус учасників на окремі складні «шматки» роботи після старту програми може бути непросто.

У той же час, більш вузький фронт робіт за програмою іноді потрібен, якщо необхідна скрупульозна, точкова робота над окремими компонентами вашої системи. У таких ситуаціях можуть бути вельми корисно звернутися до фахівців з певними заздалегідь технічними навичками. При цьому такі програми можуть бути особливо цікавими для новачків - тих самих Мисливців за знаннями. Часто bug bounty-програми з вузьким scope of work НЕ анонсуються як публічні.

Ступінь відкритості програми

І тут ми впритул підходимо до питання про ступінь «публічності» вашої програми. Закриті проекти, як правило, орієнтовані на невеликі групи учасників. Для мисливців за багами це означає в першу чергу - велику ефективність і меншу кількість даремно витраченого часу на пошук одних і тих же вразливостей.

Нерідко багато компаній роблять перші кроки по частині bug bounty-програм з закритих проектів - щоб набратися досвіду взаємодії з проектною командою. Ось чому зазвичай в закриті програми запрошують «найманців» і профі. Відкриті програми по визначенню доступні значно ширшому колу людей, незалежно від їх мотивації.

винагорода

Наявність винагороди не ключовий, але вкрай важливий аспект будь-якого bug bounty проекту. Гроші як такі не є тут головним мотиватором, однак можуть значно полегшити вам роботу з найбільш досвідченими фахівцями.

Потрібно пам'ятати, що під винагородою за працю можна розуміти різне. І різні групи мисливців за уразливими можуть оцінити різні види компенсацій. Наприклад, для Мисливців за знаннями і профі, участь в проекті bug bounty це скоріше про цінності їх роботи, ніж про зароблені гроші. До речі, програми з пошуку вразливостей нерідко анонсують і зовсім на «вільних засадах», а вже згодом - додають призи. В цьому випадку є шанс зацікавити програмою як новачків, так і профі - і першим і другим, цікаві непрості завдання.

публічність результатів

Більшість учасників опитування визнають, що питання про те, чи будуть результати їх діяльності - читай знайдені узявімості - доступні громадськості чи ні, є важливим для них.

Для професіоналів і тих, хто працює за наймом, можливість відкрито заявити про знайдені на проекті баги - це безсумнівний плюс, підтвердження їх кваліфікації та навичок. Для т.зв. «Безпечники» - це, наприклад, відмінна можливість дізнатися більше про реальних «живих» незакритих уразливість; ризики, пов'язані з людським фактором і т.д. Нарешті, можливість оприлюднити результати своєї роботи - перший серйозний крок до отримання визнання з боку професійної спільноти для новачків.

замість PS

Bug bounty-проекти дійсно можуть принести чимало користі компанії і найближчим часом, ймовірно, їх число буде тільки рости. Хоча б тому, що частіше за все вони виявляються дешевше утримання штату виділених мисливців за багами. А завдяки популяризації agile методології, роботи у баг хантерів, навряд чи стане менше: неможливість оперативного захисту бізнес-функцій - один із суттєвих обмежень «гнучкого» підходу до розробки.

Ось чому розуміння психології мисливців за багами може допомогти в поліпшенні як самих bug bounty-програм, так і в кінцевому підсумку позитивно позначитися на загальному рівні захищеності ваших процесів, сервісів і продуктів.

В якості висновку відзначимо, що найбільша ефективність, як це нерідко буває, досягається саме в результаті синтезу - технологій, інструментів, підходів. Продовжуючи залишатися в рамках agile реальності, безумовно, має сенс покращувати і якість bug bounty-програм. Вийти на якісно новий рівень - наприклад, у випадку з безпекою веб-додатків - можна, змінивши сам погляд на вашу «реальність». Про те, як це зробити ви можете прочитати в статті Рустема Хайретдінова . Але це вже зовсім інша історія.