Цивилизация
Twitter будет платить исследователям или «добрым самаритянам» из числа хакеров за обнаруженные уязвимости в платформе, о которых они сообщат компании. Подобные программы запустили многие другие технологические компании, в том числе российские.
Суть программы состоит в том, что юзеры сообщают компании об уязвимостях и позволяют ей исправить ошибки до того, как они смогут обнародовать эту информацию. В противном случае хакеры могли бы воспользоваться этой возможностью для своих целей.
Такая практика является стандартной для специалистов по компьютерной безопасности, которые обнаруживают такие «баги» – как за деньги, так и бесплатно, – хотя некоторые из них публично рассказывали о своих находках через какое-то время, если считали, что компания не действует достаточно быстро для исправления существенной проблемы.
Программа касается «настольной» и мобильной веб-версий Twitter, приложений для платформ iOS и Android, а также еще нескольких принадлежащих компании сервисов, в том числе Tweetdesk.
Минимальное вознаграждение, на которое может рассчитывать обнаруживший «баг» в сервисах Twitter, — $140. Видимо, это намек на максимальную длину поста в этой соцсети – 140 символов. За первые три месяца тестирования программы Twitter заплатил 44 энтузиастам и исправил 46 ошибок.
Руководитель Zecurion Analytics Владимир Ульянов отмечает, что программа Twitter нацелена прежде всего на обычных пользователей и исследователей в области безопасности, а не на профессиональных хакеров. «Жаль, мы не знаем реального уровня оплаты обнаружения уязвимостей. Но $140 – явно не та сумма, которая может заинтересовать профессионального киберпреступника», — подчеркнул он в разговоре с «Газетой.Ru».
У Facebook, Microsoft и Googlе, как и у многих других технологических компаний, есть собственные аналогичные программы. В Facebook, в частности, заявляли, что выплатили «хорошим» хакерам более $1 млн. Этот метод обеспечения кибербезопасности становится все важнее, так как побуждает экспертов находить уязвимости раньше, чем это сделают злоумышленники.
Стоит отметить, что корпорация Apple является одним из исключений, предпочитая полагаться на собственные силы в обеспечении безопасности, однако, учитывая недавние скандальные утечки, причиной которых якобы послужили уязвимости в сервисе iCloud, нельзя исключать, что Apple запустит собственную программу.
Российские технологические компании также следуют тренду. Первой крупной российской компанией, запустившей подобную программу поощрения, два года назад стал «Яндекс». В рамках программы «Охота за ошибками» компания выплачивает за найденные уязвимости от 5 до 100 тыс. руб., в зависимости от критичности «багов».
По словам руководителя службы информационной безопасности «Яндекса» Антона Карпова, «охота» позволила создать вокруг компании сообщество исследователей безопасности, которые регулярно проверяют сервисы на уязвимости. «Программа Bug Bounty — это современный подход к краудсорсингу безопасности, когда исследователи в области информационной безопасности получают вознаграждение за свой труд», — рассказал он «Газете.Ru».
Другой российский интернет-гигант, Mail.Ru Group, в апреле этого года провел первый конкурс на поиск уязвимостей в рамках программы Bug Bounty. Победитель конкурса получил $5 тыс., специалисты, занявшие второе и третье места, — $3 тыс. и $1,5 тыс. соответственно, остальные участники получили от $150.
«Практика проведения конкурсов формата Bug Bounty отлично зарекомендовала себя во всем мире, поскольку помогает эффективно выявлять скрытые угрозы, — заявила вице-президент Mail.Ru Group, руководитель бизнес-подразделения «Почта и портал» Анна Артамонова. При этом у программы есть и другая задача: с ее помощью компания стремится популяризировать идею важности информационной безопасности, отметила она.
Впрочем, далеко не все программы вознаграждения для экспертов по безопасности оказываются удачными: бывают случаи, когда они приводят к конфликтам.
Так, в сентябре 2013 года специалисты швейцарской компании High-Tech Bridge решили проверить, какой будет реакция Yahoo! на обнаруженные в ее продуктах уязвимости. Найдя первую XSS-уязвимость всего за 45 минут, они сообщили об этом представителям Yahoo!, однако им ответили, что данный «баг» уже был обнаружен другим человеком, а за каждую из трех последующих уязвимостей им было предложено всего $12,5, причем вознаграждение можно было забрать исключительно в качестве скидки в магазине Yahoo Company Store, в котором продаются сувениры с символикой Yahoo!.
Однако в целом подобная схема поощрения исследователей хорошо себя зарекомендовала, отмечают эксперты по компьютерной безопасности.
«Для большинства компаний деньги, которые они платят в качестве вознаграждения, — сущие копейки. При этом удается действительно улучшить свои сервисы, а в некоторых случаях еще и сэкономить на штате тестировщиков»,
— говорит Владимир Ульянов.
«Если бы компании действительно пытались выкупить уязвимости у настоящих хакеров или если вообразить, что устраивались бы открытые аукционы, цена была бы в разы, если не на порядки больше стандартных вознаграждений», — отмечает он.
