Запуск платформы Bug Bounty на площадке The Standoff 365 состоялся в ходе форума PHDays 11. За первые месяцы её работы на ней зарегистрировались 2 500 «белых» хакеров. Уже получено более 600 отчётов об обнаруженных уязвимостях в 24 размещённых приложениях. Подведены первые статистические итоги.
- Введение
- Платформа Bug Bounty на The Standoff 365
- Денежные вознаграждения — это важно
- Атаки через небезопасные прямые ссылки (IDOR)
- Подделка запросов на стороне сервера (SSRF)
- Атаки с межсайтовым исполнением сценариев (XSS)
- Перспективы развития платформы Bug Bounty на The Standoff 365
- Выводы
Введение
В конце октября Positive Technologies опубликовала данные о результатах первых пяти месяцев работы программы Bug Bounty. Отчёт представил Ярослав Бабин, директор по продукту.
Вендор анонсировал разработку платформы баг-баунти во время работы киберполигона The Standoff в ноябре 2021 года. Согласно анонсу, она рассматривалась как дополнение к The Standoff 365 — онлайн-версии многодневных офлайн-киберучений The Standoff, которые компания Positive Technologies проводит с 2016 года. Запуск платформы состоялся на PHDays 11.
Рисунок 1. Презентация отчёта по Bug Bounty на базе The Standoff 365 в Москве
Идея Bug Bounty на площадке The Standoff 365 такова: организаторы рассматривают эту программу как возможность для привлечения «белых» хакеров к решению практических задач по устранению рисков. Компании-спонсоры готовы выплачивать удачливым специалистам вознаграждения за полезные отчёты об уязвимостях.
Конечно, можно нанять хакеров напрямую, но благодаря платформе Bug Bounty появляется дополнительный уровень доверия между заказчиком и исполнителем. Компания, которая разместила на площадке свою баунти-программу, передаёт в хранилище платформы (её призовой фонд) средства, которые обещает выплатить в качестве вознаграждения. Площадка Bug Bounty, со своей стороны, гарантирует компании экспертизу заявок, получаемых от хакеров, и их оценку с точки зрения безопасности для заказчика.
Формально баг-баунти на The Standoff 365 — это просто легальный способ заработка для хакеров и аутсорсинг задач по безопасности для компаний-заказчиков. Но попробуем разглядеть в этом проекте нечто большее.
Платформа Bug Bounty на The Standoff 365
Ярослав Бабин назвал её «лидером среди российских платформ по поиску уязвимостей», и, наверное, он имеет для этого все основания.
Платформа выстроена на базе опыта экспертов, накопленного благодаря проведению компанией Positive Technologies масштабных кибербитв. Организаторам удалось объединить «белых» хакеров для решения задач связанных с повышением защищённости бизнеса и государства.
Новая баунти-платформа на базе The Standoff 365 призвана не только расширить поддержку в адрес бизнеса и государства, но и привлечь людей к участию в социальной инициативе по кибербезопасности The Standoff Talks. Цель этой инициативы — предоставление возможностей для обучения, профессионального развития и накопления практического опыта на примере реальных, практических задач по безопасности.
По данным Positive Technologies, за пять месяцев на платформе Bug Bounty прошли регистрацию более чем 2 500 человек. Точные цифры неизвестны, потому что регистрация отчасти анонимна, т. е. не требует предоставления паспортных данных. В то же время платформа гарантирует, что даже при таких условиях удачливый хакер сможет рассчитывать на реальное вознаграждение в случае подачи и одобрения его отчёта. Активных хакеров, конечно, меньше. По словам Ярослава Бабина, их насчитывается около 800 человек.
Много это или мало? Для сравнения, численность базового состава сил киберобороны Японии составляет на текущий момент 890 человек. В Северной Корее численность аналогичных подразделений составляет 6 800 человек, в Китае — 175 000 человек. Хотя Positive Technologies не ставит перед собой задачи сделать свою платформу частью программы по формированию таких подразделений в России, собранная статистика позволяет оценить потенциал в этой области.
За пять месяцев работы на платформе было запущено 24 программы баг-баунти, причём 22 из них — за последние три месяца. К сожалению, организаторы не предоставили полного перечня компаний, которые разместили там свои программы, но косвенно эту информацию можно получить из внешних источников.
Так, по данным сайта builtwith.com, на 29 октября 2022 г. в России насчитывалось 29 запущенных программ Bug Bounty. В числе заказчиков называются «Яндекс», QIWI, «Совкомбанк», Spotify, «Юла» и др.
Рисунок 2. Программы Bug Bounty, запущенные в России (по данным BuiltWith.com)
Для сравнения отметим, что в мире, по данным того же источника, сейчас действует 6 287 программ баг-баунти для хакеров.
Полный отчёт о состоянии мирового и российского рынков Bug Bounty (октябрь 2022 г.), подготовленный компанией Positive Technologies, доступен здесь.
Денежные вознаграждения — это важно
Согласно опубликованному отчёту, за пять месяцев работы Bug Bounty на The Standoff 365 было выплачено вознаграждений на общую сумму более 5 млн рублей. Средний размер награды составил 32 тыс. руб. в целом и 420 тыс. руб. для критических уязвимостей.
Согласно сведениям по размещённым программам, максимальный размер выплаты — 1,2 млн рублей. Такое вознаграждение обещано за выявление логической ошибки, которая позволит реализовать недопустимое событие.
За обнаружение ошибок типа IDOR (Insecure Direct Object Reference) заказчики готовы заплатить 600–750 тыс. руб.; за реализацию сценариев типа XSS (Cross-Site Scripting) — 120 тыс. руб.; за выполнение операций типа SSRF (Server-Side Request Forgery) — 120 тыс. руб.; за извлечение конфиденциальной информации, размещённой на сайтах заказчиков, — 90 тыс. руб.
Обещанный размер выплат различается для компаний из разных отраслей. Так, по задачам поиска критически опасных уязвимостей в инфраструктуре средняя величина возможного вознаграждения в секторе онлайн-сервисов составляет 550 900 рублей, для ИТ-компаний — 246 600 рублей, для предприятий торговли — 100 000 рублей. По данным Positive Technologies, этот показатель выше среднемировых для онлайн-сервисов на 32 % и ниже среднемировых для ИТ-компаний и предприятий торговли на 40 % и 15 % соответственно.
Рисунок 3. Общемировая статистика по программам Bug Bounty в разных отраслях экономики за 2020 год (по данным Statista)
Атаки через небезопасные прямые ссылки (IDOR)
Большинство исследователей считают использование небезопасных прямых ссылок весьма простой уязвимостью. Большие выплаты, обещанные за обнаружение таких изъянов, объясняются значительным потенциальным ущербом от них и относительной редкостью их выявления. Чаще всего IDOR обнаруживаются в стороннем коде, когда заказчик не проверяет его, доверяя источнику.
Опытные хакеры очень любят подобные ошибки. Обнаружив их, они потом «тиражируют» свои знания по разным баунти-площадкам, собирая многочисленные вознаграждения за один баг.
Разобраться в уязвимостях типа IDOR проще всего на примере. Допустим, у компании существует корпоративный чат для общения сотрудников. Для доступа надо использовать запросы типа company.ru/social?id=0001. Подставляемый параметр «id» является идентификатором пользователя. В простейшем случае он раздаётся сотрудникам автоматически в порядке их регистрации.
Если не использовать дополнительной защиты (что нередко встречается во внутренних корпоративных системах), то злоумышленнику будет достаточно указать чужой идентификатор, чтобы получить доступ к переговорам и другой конфиденциальной информации.
Разработчики обычно защищаются от подобного рода атак и используют более сложные схемы — например, применяют в качестве идентификатора уникальный ключ: company.ru/messages?user_key=6FE5EaUK8F5r7lbf0nh2eGHUZ. В этом случае хакеру достаточно раскрыть алгоритм формирования ключа user_key или показать способ его получения (кражи). С этими данными можно получить доступ к сообщениям, пока реальный пользователь не закрыл свою сессию.
К уязвимостям типа IDOR относятся также случаи использования прямых ссылок, которые считаются невозможными для подбора. Именно таким образом хранятся документы на серверах, публикуются отчёты, которые формально должны быть доступны только платным подписчикам, и т. д.
Для выявления подобных ошибок обычно применяются специальные инструменты. Например, для этих целей может использоваться программа Burp Suite от компании PortSwigger.
Рисунок 4. Программа Burp Suite
Подделка запросов на стороне сервера (SSRF)
Атаки типа SSRF (Server-Side Request Forgery) также являются популярной отправной точкой для полномасштабных киберопераций. Стратегия их проведения подразумевает предварительный поиск на стороне атакуемой компании какого-либо приложения, которое умеет работать с данными из URL-адреса. Целью поиска является компрометация уязвимого сервера и отправка через него данных. Подставляя другой URL-адрес или манипулируя тем, как создаются URL-адреса, хакер управляет функциональностью.
В сущности, уязвимости SSRF позволяют злоупотреблять любым пользовательским вводом, который принимает URL-адреса или загрузку файлов. Они могут заставлять сервер подключаться к неверным URL-адресам или внешним ресурсам. Выбор возможных атак огромен.
Часто с помощью этого метода атакуют базы данных NoSQL, которые предоставляют REST-интерфейсы для HTTP-портов. Поскольку базы данных для внутреннего использования редко требуют аутентификации, хакер может извлечь таким образом конфиденциальные данные, читать файлы через URI и пр.
Атаки с межсайтовым исполнением сценариев (XSS)
Межсайтовое исполнение сценариев (Cross-Site Scripting) — это инъекция вредоносного кода в уязвимые веб-приложения без нарушения их работы. Главной целью XSS-атаки является пользователь.
Успешная реализация XSS может стать причиной репутационных потерь самого пользователя или утраты доверия к компании со стороны клиентов. Всё зависит от формы и масштабов атаки. Например, внедрённая троянская программа может осуществить дефейс (подмену содержимого сайта). Обманом можно вынудить пользователей предоставлять конфиденциальную информацию.
Целью XSS-атаки могут быть также сеансовые файлы (cookie). С их помощью хакеры способны осуществлять собственные манипуляции, выдавая себя за других пользователей.
Именно с помощью межсайтового исполнения сценариев была взломана торговая онлайн-система eBay на рубеже 2015-2016 гг. Изначально в адресе обращения к сайту применялся URL-параметр, который не подвергался необходимой валидации. В зависимости от этого параметра происходила переадресация на другие страницы торговой веб-системы. Хакеры воспользовались этой уязвимостью (отсутствием валидации) и внедрили вредоносный код в одну из страниц, создав себе возможность кражи сведений о совершаемых транзакциях. Результатом атаки стала также подмена данных. Хакеры устанавливали себе скидки, покупали ходовые товары и перепродавали их по обычной цене. Основной доход был получен на перепродаже запчастей для автомобилей и других транспортных средств.
Перспективы развития платформы Bug Bounty на The Standoff 365
Согласно отчёту Positive Technologies, планы на 2022 год выполнены полностью. Осуществлён запуск платформы, привлечены ключевые партнёры, которые разместили свои программы Bug Bounty на площадке The Standoff 365.
В планах развития платформы на 2023 год — заинтересовать крупные предприятия. Организаторы надеются, что появится больше сложных программ, связанных с поиском уязвимостей уровня недопустимых событий: это позволит хакерам получить более крупные вознаграждения.
Для роста площадки компания планирует сделать акцент на привлечении заграничных исследователей и выйти на перспективный международный рынок. В случае успеха это поможет ей стать лидером по количеству багхантеров и запущенных программ Bug Bounty в России.
Предпосылки для этого есть. Как заявил аналитик исследовательской группы Positive Technologies Федор Чунижеков, 65 % компаний в 2020-2021 гг. имели критические уязвимости в своём ПО (перехват контроля, повышение привилегий, возможность атаки на клиентов).
В то же время, по словам Ярослава Бабина, платформа Bug Bounty на The Standoff 365 испытывает сейчас определённые затруднения, связанные в первую очередь с регуляторными ограничениями. Существуют трудности в выплате вознаграждений для иностранных участников, нет возможности применять цифровые валюты.
При этом, согласно мировой статистике, наиболее крупные выплаты по программам Bug Bounty связаны именно с крипторынком. Например, за обнаружение критической уязвимости в криптоплатформе Binance хакер может заработать до 100 000 долларов США. Минимальный чек за информацию о преодолении системы безопасности криптоплатформы Kraken начинается с 500 долларов. Обнаружение критических багов в платформе Crypto.com оценивается в 80 000 долларов.
В то же время уже сейчас платформа Bug Bounty на The Standoff 365 выглядит вполне соразмерной мировым аналогам. Например, число постоянных участников баунти-платформы Hackenproof составляет более 7 000 человек при примерно 300 действующих программах, а её выплаты вознаграждений за прошлый год оцениваются в 523 561 доллар за 3 493 отчёта. Это — та планка, к которой можно стремиться в развитии молодой российской платформы.
Рисунок 5. Статистика по количеству запущенных программ Bug Bounty в мире (по данным BuiltWith.com)
Выводы
За пять месяцев работы российская платформа Bug Bounty на The Standoff 365 показала положительную динамику. За это время ей удалось привлечь около 800 активных участников. Было запущено 24 баунти-программы (при трёх программах на старте). Величина её фонда вознаграждений вполне соответствует мировому опыту. Однако темпы развития платформы пока сдерживаются регуляторными ограничениями.