– Когда вы начали занимать багхантингом и какую уязвимость нашли самой первой?
– Багхантингом я начал заниматься в 2017 году, когда мне было 18 лет. По сути тогда я толком не знал, что такое информационная безопасность и bug bounty (программа вознаграждения за обнаружение ошибок и уязвимостей — прим.ред.). Однако имел неплохие навыки в программировании и реверс-инжиниринге (разбор готового программного продукта на его составляющие – прим.ред.).
Так, однажды в одной из соцсетей я нашел уязвимость, которая позволяла размещать посты на странице любого пользователя от его имени, но без его ведома. Работала она просто: жертве можно было прислать ссылку, после перехода по ней срабатывал скрипт, и готово – на странице какого-нибудь блогера могло появиться сообщение с любым текстом, который захотел бы разместить атакующий. Таким текстом могла быть как шутка, так и, к примеру, реклама любого товара.
– Правильно я понимаю, что вы «продали» эту уязвимость разработчикам соцсети?
– Да, но случилось это не сразу. Точнее, я представления не имел, что могу получить деньги за свою находку. Я просто написал об ошибке в техподдержку соцсети, а в ответ получил предложение сообщить об уязвимости через программу bug bounty на платформе HackerOne (самая популярная в мире bug bounty-платформа – прим. ред.). Так я и сделал.
Вскоре мне заплатили за уязвимость $200. Для меня это была огромная сумма. Тогда я еще учился в колледже и жил в общежитии. После этого случая я начал понимать, что такое bug bounty, как на этом можно зарабатывать, как искать бреши и сообщать о них компаниям в соответствии с политикой о неразглашении. У меня сразу появилось желание развиваться в этой сфере.
– Сколько уязвимостей вы нашли и продали на сегодняшний день?
– Больше сотни.
– Что это были за компании?
– Разные. В основном соцсети, интернет-сервисы вроде GitLab и Slack. Много уязвимостей удалось найти в платежном сервисе QIWI. Был даже случай с PornHub.
– PornHub? Простите, не могу не спросить, при каких обстоятельствах вы нашли уязвимость на этом сайте? Пришли как рядовой посетитель и подумали «дай-ка в коде поковыряюсь»?
— Все более прозаично. Выбрал в качестве цель из общего списка, опубликованного на платформе HackerOne, так же, как это делают все багхантеры, и пошел ломать.
– Можете рассказать, в чем заключалась суть этой уязвимости?
— Хоть эта уязвимость уже и закрыта, подробности я все еще разглашать не могу. Команда программы не давала разрешение на раскрытие ее содержания.
– Сколько вы за нее получили?
— $250.
– Правильно я понимаю, что все уязвимости, которые вы обнаружили стоили около $200?
– Конечно, нет.
В каждой программе bug bounty определен диапазон денежных вознаграждений за найденные уязвимости. Разный тип уязвимостей оплачивается по-разному. Чем опаснее уязвимость и чем больше у нее влияния на продукт, тем больше получит исследователь за ее обнаружение. Как правило, минимальная выплата — $50, максимальная может доходить до сотен тысяч. Сотни тысяч я, конечно, не получал, но больше $3000 было точно.
– Сколько на bug bounty вы зарабатываете ежемесячно?
– Зависит от приложенных усилий и везения.
Если постараюсь, за месяц могу заработать больше $10 тыс., если поленюсь, может выйти и $100.
– Вы работаете где-нибудь на постоянной основе?
– Работаю в одной из ведущих российских компаний в сфере информационной безопасности и багхантинг для меня ― исследовательская работа, которой я занимаюсь в свободное от основной работы время: это интересно, это развивает меня как специалиста и, конечно же, приносит некоторый дополнительный доход, что тоже, согласитесь, неплохо. И когда я говорю о размере заработка на багхантинге, я имею ввиду сумму, которая, конечно же, не включает в себя зарплату.
– Как вас взяли на работу в ИБ-компанию? Вы же хакер!
— Да, хакер, но «белый». Я исследователь безопасности. Опыт таких специалистов, как я, очень востребован на стороне защиты: мы умеем посмотреть на системы любой организации и найти в них те бреши, которые вероятнее всего уже ищут те хакеры, которые нацелены на деструктив. Ну и да, позволю себе минутку тщеславия и скажу, что на работу меня взяли с большой охотой.
В резюме мне хватило всего одной строчки со ссылкой на мой профиль на HackerOne. Больше я ничего не стал указывать – и меня взяли. На собеседовании мой будущий руководитель еще пошутил над тем, какое у меня резюме информативное.
Так что иметь хороший рейтинг на bug bounty платформе в каком-то смысле лучше, чем иметь красный диплом. Диплом о высшем образовании у меня, конечно, есть. Но он не красный.
– Вы упомянули везение. Объясните, пожалуйста, на что оно влияет в багхантинге?
— Например, бывает так, что ты нашел уязвимость, отправил репорт и ждешь ответ от компании. Через несколько часов или дней видишь, что уязвимость, которую ты нашел, закрыта на HackerOne и помечена как Duplicate. Это значит, что одновременно с тобой уязвимость нашел и другой хакер. В таком случае награду получает тот, кто первым сообщил об уязвимости.
Бывает еще, что после репорта уязвимость получает статус Informative. Это значит, что компания решила не исправлять уязвимость, поскольку посчитала ее некритичной. В таком случае, разумеется, денег тоже не видать.
– А какой статус дает понять, что бумажник скоро потяжелеет?
— Все ждут заветный статус Triaged, после которого назначается выплата. Вознаграждение, как правило, поступает на банковский счет, PayPal или Bitcoin-кошелек (Coinbase) в тот же день.
В некоторых случаях команда программы bug bounty может перечислить награду после того, как устранит уязвимость, то есть через месяц, в среднем. Но были случаи, когда я получал выплату через несколько лет после репорта.
Уже даже забываешь о том, что где-то что-то нашел и зарепортил, а тут тебе на почту приходит уведомление о выплате. Это как найти деньги в зимней куртке в начале сезона. Однако это — редкость, обычно ожидание награды составляет до месяца.
– Скажите, какая уязвимость была для вас самой прибыльной?
– Однажды я вскрыл уязвимость, позволяющую обходить комиссию на переводы в одной из популярных платежных систем. Устранить ее можно было только в конкретном месте. То есть, нашел на одной странице – исправил на этой странице. После обновления сайта уязвимость появилась на другой странице – исправляй снова. Закрыть уязвимость одной правкой везде и навсегда было нельзя.
Соответственно, я начал такие места искать. В итоге в разное время отправил пять репортов по одной уязвимости, и компания выплатила мне вознаграждение за каждый.
Другие исследователи найти обнаруженную мною «брешь» не могли, так как информация по репортам была закрыта. Нащупывать же уязвимость вслепую, с нуля можно было несколько месяцев. Никто за такое не возьмется.
– Бывают ли между «белыми» хакерами и заказчиками конфликты? Есть ли в этой сфере аферисты и мошенники?
– Сфера bug bounty построена на доверии между компаниями и «белыми» хакерами. Возможно в это сложно поверить, но в данном случае доверие является фундаментом, который по прочности не уступает договорам с кучей печатей и подписями десятка важных людей.
Я это к тому, что в сфере bug bounty бывают конфликты, но очень редко. Бывают случаи, когда, например, уязвимость засветилась в СМИ после репорта, или владельцы программы bug bounty посмотрели логи и выяснили, что исследователь ее эксплуатировал. Тогда им отказывают в выплате вознаграждения.
Подчеркну, что такое поведение идет вразрез с этическими принципами настоящего исследователя.
– Мой скромный опыт общения c пентестерами не дает мне понять, почему они неохотно раскрывают свою личность. Можете рассказать о причинах скрытного поведения «белых» хакеров?
— Я бы не сказал, что это правило. Все зависит от человека. Чаще, даже наоборот – люди везде ездят, выступают, презентации показывают.
А вообще, когда начинаешь разбираться как все работает – к безопасности в интернете начинаешь относиться по-другому. Тут уже и в пароли символы добавляешь, и лишний раз думаешь, стоит ли на незнакомый сайт свои данные вводить. А такой тенденции, чтобы все скрывались, я не замечал.
– HackerOne перестал работать с российскими багхантерами. Что в связи с этим изменилось в вашей работе? Как вы переживаете, так сказать, отлучение от HackerOne?
– Альтернатив HackerOne пока не много, но они начали появляться, в том числе и в России. Например, уже есть платформа BugBounty.ru, весной стартовала The Standoff 365 Bug Bounty, а да конца года, по слухам, появится еще одна-две. Это однозначно вовремя подоспевшее подспорье для российских «белых» хакеров. Однако я бы не стал говорить, что эти платформы интересны только потому, что закрылся HackerOne.
Некоторые из российских платформ предлагают уникальные задачи. Например, на The Standoff 365 Bug Bounty можно не только искать уязвимости, но и предлагать способы их использования в так называемых недопустимых событиях, хакерских атаках. Мне кажется, почувствовать в себя в шкуре киберпреступника – это довольно необычный опыт.
– Уверен, после прочтения этого интервью кто-нибудь да захочет податься в пентестеры. Можете дать какие-нибудь советы для начинают «белых» хакеров?
– Начинающий исследователь на первых порах может попытаться проверять чужие открытые репорты в других bug bounty программах, а потом находить аналогичные уязвимости и так зарабатывать. Поначалу я действовал именно так.
Впрочем, когда новичок наберется опыта, ему это наверняка станет неинтересно. Появится желание самому искать новые векторы атак и открывать то, о чем еще никто не догадался. Это как переход на следующий уровень.
По сообщению сайта Газета.ru