Охотники за ошибками

Сегодня интернет-компании активно применяют краудсорсинг при тестировании безопасности своих продуктов, выплачивая людям денежные вознаграждения за сообщения об уязвимостях. Такие инициативы называются «баг баунти» (англ. bug bounty). Они позволяют компаниям плотнее взаимодействовать с профессиональным сообществом, а также взглянуть на свою безопасность со стороны. Даже в крупных компаниях внутренние ресурсы ограничены, и охватить регулярным тестированием все продукты почти невозможно. Кроме того, сервисы интернет-компаний и так находятся под прицелом взломщиков — так почему бы не дать «хорошим хакерам» стимул сообщать об уязвимостях?

Уязвимость — это недостаток системы, который ставит под угрозу конфиденциальность или целостность информации в ней. Недостатки могут быть разными: от ошибок в программном коде до неправильных настроек. Обнаруженная уязвимость, о которой стало известно вовремя, — это, потенциально, сохранённые в безопасности учётные записи тысяч пользователей и гарантия конфиденциальности данных.

Пионером «баг баунти» в интернете принято считать компанию Netscape, которая ещё в 1995 году объявила о награде до 1000 долларов за обнаружение критичных уязвимостей в своём браузере. Ошибки, получившие тогда максимальную награду, кажутся по нынешним меркам весьма наивными: так, одно из первых мест заняла уязвимость, позволявшая читать историю посещений пользователя. Сложно представить это сейчас, когда некоторые уязвимости в браузерах позволяют злоумышленникам получить полный доступ к компьютеру.

В 2004 году компания Mozilla, памятуя об успешном опыте предшественника, учредила свою программу вознаграждения и предлагала 500 долларов за уязвимости в браузере Firefox. За Mozilla в 2010 году последовал Google со своей программой поощрения за уязвимости. За найденные ошибки Google предлагал от 500 до 31337 (так выглядит слово «elite» на хакерском языке) долларов. В 2011 году аналогичную программу запустил Facebook.

Год назад к этой деятельности присоединился и Яндекс, открыв свою «Охоту за ошибками». Мы платим за уязвимости, обнаруженные в наших сервисах и приложениях, от 100 до 1000 долларов (а в особых случаях и больше), и мы первая компания в России, которая запустила подобную инициативу. За прошедшие 12 месяцев нам прислали более 1000 писем, мы исправили более 300 ошибок и выплатили исследователям более пяти миллионов рублей.

Приятно сознавать, что и другие участники российского интернет-рынка последовали за нами. Мы считаем, что программа премирования исследователей безопасности — это признак хорошего тона, подобная программа должна быть у каждой интернет-компании.

За год существования «Охоты за ошибками» мы поняли, что в ней можно многое улучшить. Нам всегда хотелось, чтобы в центре Охоты стояли ее участники — исследователи безопасности, ищущие ошибки в сервисах. Поэтому мы разработали совершенно новую концепцию «Охоты за ошибками» и уверены, что нововведения не оставят равнодушными ни текущих, ни новых «охотников».

Подробности новой «Охоты за ошибками» будут анонсированы на конференции ZeroNights — международной конференции, посвящённой практическим аспектам информационной безопасности. Она пройдет в Москве 7-8 ноября этого года. Будем рады видеть вас там!

Служба информационной безопасности Яндекса

Вопросы и ответы

Если вы обнаружили проблему безопасности в одном из сервисов Яндекса, сообщите нам об этом через форму на сайте конкурса «Охота за ошибками» .

На этой странице вы найдете ответы на часто задаваемые вопросы.

За какие уязвимости награда не вручается?

За сообщение об ошибке в работе сервисов, расположенных на доменах yandex.net и yandex.st , вознаграждение выплачивается только за уязвимости класса server side.

Данный список может различаться в зависимости от программы. Уточняйте исключения для каждой программы на ее странице в рамках «Охоты за ошибками» .

Что произойдет после отправки сообщения об уязвимости?

После отправки сообщения вы получите автоматически сгенерированное письмо с номером вашей заявки — это означает, что Яндекс получил ваше сообщение об ошибке.

Обратите внимание, что сообщение может быть обработано, только если вы получили автоматический ответ с номером вашего сообщения об ошибке. Отправка ответного письма обычно занимает от нескольких минут до часа с момента отправки формы. Если вы не получили такое письмо (не забудьте поискать его в папке «Спам» ), то, скорее всего, ваше сообщение до нас не дошло.

Если вы хотите сообщить нам дополнительную информацию об уязвимости, напишите об этом прямо в ответе на полученное письмо.

Наши специалисты обработают ваше обращение и при необходимости свяжутся с вами для уточнения деталей.

Обращаем ваше внимание на то, что Яндекс награждает пользователя, который первым сообщил о проблеме. Если вы обнаружили уязвимость — сообщите нам об этом как можно скорее.

Можно ли получить вознаграждение на счет в PayPal или другой электронной платежной системе?

Яндекс выплачивает вознаграждение через банковские переводы. Участники — нерезиденты РФ и иностранные граждане получают вознаграждение в долларах США по текущему курсу ЦБ РФ.

Проблемы с назначенной наградой

Если у вас возникли проблемы с получением награды или появились вопросы, связанные с заполнением формы финансовой информации, воспользуйтесь нашей формой поддержки.

Вопросы и ответы

Если вы обнаружили проблему безопасности в одном из сервисов Яндекса, сообщите нам об этом через форму на сайте конкурса «Охота за ошибками» .

На этой странице вы найдете ответы на часто задаваемые вопросы.

За какие уязвимости награда не вручается?

За сообщение об ошибке в работе сервисов, расположенных на доменах yandex.net и yandex.st , вознаграждение выплачивается только за уязвимости класса server side.

Данный список может различаться в зависимости от программы. Уточняйте исключения для каждой программы на ее странице в рамках «Охоты за ошибками» .

Что произойдет после отправки сообщения об уязвимости?

После отправки сообщения вы получите автоматически сгенерированное письмо с номером вашей заявки — это означает, что Яндекс получил ваше сообщение об ошибке.

Обратите внимание, что сообщение может быть обработано, только если вы получили автоматический ответ с номером вашего сообщения об ошибке. Отправка ответного письма обычно занимает от нескольких минут до часа с момента отправки формы. Если вы не получили такое письмо (не забудьте поискать его в папке «Спам» ), то, скорее всего, ваше сообщение до нас не дошло.

Если вы хотите сообщить нам дополнительную информацию об уязвимости, напишите об этом прямо в ответе на полученное письмо.

Наши специалисты обработают ваше обращение и при необходимости свяжутся с вами для уточнения деталей.

Обращаем ваше внимание на то, что Яндекс награждает пользователя, который первым сообщил о проблеме. Если вы обнаружили уязвимость — сообщите нам об этом как можно скорее.

Можно ли получить вознаграждение на счет в PayPal или другой электронной платежной системе?

Яндекс выплачивает вознаграждение через банковские переводы. Участники — нерезиденты РФ и иностранные граждане получают вознаграждение в долларах США по текущему курсу ЦБ РФ.

Проблемы с назначенной наградой

Если у вас возникли проблемы с получением награды или появились вопросы, связанные с заполнением формы финансовой информации, воспользуйтесь нашей формой поддержки.

Yandex.BugBounty — Как Яндекс игнорирует свою программу по защите сервисов

Я начал заниматься информационной безопасностью, выводить первые баунти за найденные уязвимости.

В один из обычных зимних деньков я шарился в программах, которые готовы платить за баг-репорт, и наткнулся на Яндекс.

Меня заинтересовала их багбаунти, и я решил начать искать уязвимости у них. В первый же день я нашел одну уязвимость и отправил ее в багбаунти — всё. Осталось только ждать ответа и радоваться полученному вознаграждению.

Думаю, понятно, что ни ответа, ни вознаграждения я не получил.

Я уже вовсе забыл о той уязвимости, найденной в феврале, и ради интереса поискал уязвимости на одном из их сервисов — нашел новую, но уже более серьезную.
Сразу в голове у меня всплыл тот репорт, отправленный еще в феврале, и я решил начать напоминть Яндексу о нем. Сначала я отправил сообщение в поддержку Яндекса — получил ответ, правда..

Обещают в течение часа, интересно. Час прошел, правда, прошло уже 144 часа как минимум. А ответа нет и нет.

Я сразу понял, что поддержка Яндекса — безнадежность, поэтому отправился в онлайн поддержку в Twitter, написал им в директ, немного порешав, мне ответили.

Прошло 5 дней, мне кажется, что смысла пытаться просить саппорт — нет.

Кстати, писал еще в Яндекс в ВК, но там тоже игнорируют.

Ладно, залезу, посмотрю, что там в регламенте Яндекса о багбаунти:

7.4. Организатор уведомляет Участника о результатах оценки Уязвимости и о принятом Комиссией решении не позднее 30 (тридцати) дней с даты получения Организатором сообщения от Участника об обнаруженной Уязвимости.

9.3. Выплата Приза осуществляется Организатором не позднее 3 (трех) месяцев со дня сообщения о результатах оценки найденной Уязвимости Организатором Участнику в соответствии с п. 7.4. Положения и при условии предоставления Победителем документов, перечисленных в п. 10.2. настоящего Положения в порядке, предусмотренном п. 10.3. настоящего Положения.

Прошло четыре месяца — нарушение регламента очевидно.

Еще хочу сказать, что я не первый человек, и думаю, что не последний, если Яндекс продолжит так относиться к людям, которые тратят свое время на их безопасность взамен на такое отношение.

Bug Bounty: заработай на чужих ошибках

В этой статье я расскажу о Bug Bounty программах, их плюсах и минусах, а также как на этом зарабатывают.

В первую очередь давайте определим что такое Bug Bounty: программа выплата награды за обнаружение проблем в безопасности сервисов и приложений компании. На русский язык уместнее всего это переводится как «Охота за ошибками».

Т.е. это некий свод правил «взаимодействия» с информационными ресурсами компании. Обычно в него входит регламент проведения программы, перечень ресурсов, описание принимаемых уязвимостей, размеры вознаграждения. В классическом исполнении это описание того, что можно «ломать» и сколько багхантер получит за ту или иную уязвимость.

Так выглядит Bug Bounty снаружи. Что это дает компании? В первую очередь непрерывный процесс «проверки на прочность»: специалисты с различным уровнем знаний, инструментарием и часовыми поясами в режиме нон-стоп атакуют ресурсы компании. Со стороны компании задействованы ресурсы на:

• мониторинг систем;
• реагирование и обработка репортов;
• баг-фиксинг (быстры или не очень).

Bug Bounty плюсы и минусы

Теперь остановимся на плюсах и минусах Bug Bounty программ.

Очевидными плюсами будет:

• непрерывность процесса тестирования;
• стоимость (выплаты вознаграждений будут меньше стоимости наемных специалистов);
• большое покрытие.

Очевидными минусами будет:

• большое количество дублей;
• огромное количество отчетов сканеров (фолсов);
• узкая направленность;
• оспаривание и «доказательства» уязвимостей.

Зачастую многие багхантеры, участвующие в программах Bug Bounty ограничиваются своими «коронными» фишками, и не исследуют что-то другое, либо наоборот, ставят под сканеры все подряд в надежде уловить хоть что-то. Это дает разноплановый, но не полный подход к тестированию. Также, огромное количество фолс срабатываний сканеров может завалить команду разработчиков ненужной работой (это и дополнительные проверки и отклики по каждому репорту — которых может быть очень много).

Открытые программы

Большинство компаний представлено на площадках — агрегаторах, таких как HackerOne или BugCrowd.

Многие российские компании открыли как собственные программы, так и профили на HackerOne. Среди них такие компании, как: Яндекс, Майл.ру, QiWi, Вконтакте и многие другие. Да что говорить, если даже у Пентагона есть своя программа Bug Bounty. (Взломать Пентагон, получить деньги и остаться на свободе — похоже на мечту хакера, но уже суровая реальность).

Средняя сумма выплат составляет от $200 до $1000, в зависимости от уязвимости и места ее нахождения.

Вот, например, оценка стоимости обнаруженных уязвимостей в программе «Охота за ошибками» — Яндекс:

• A01. Инъекции 170000 руб. (критичные сервисы); 43000 руб. (прочие сервисы).
• A02. Межсайтовый скриптинг – A05. Межсайтовая подделка запросов 17000 руб. (критичные сервисы); 8500 руб. (прочие сервисы).
• A06. Ошибки конфигурации веб-окружения – A10. Открытое перенаправление 8500 руб.(критичные сервисы); 5500 руб. (прочие сервисы).

Наиболее «дорогие ошибки»

За время проведения Bug Bounty программ многие компании суммарно выплатили суммы в $ с 5 и более нулями (только Фейсбук выплатил более $5.000.000 вознаграждений), однако были и вознаграждения, которые сами по себе были довольно внушительными. Что самое интересное — баги были космического масштаба, но находились они иногда чуть-ли не методом тыка:

На баг, принесший ему $10 000, уругвайский школьник Иезекииль Перейра, наткнулся «со скуки». Студент, мечтающий сделать карьеру в области информационной безопасности, возился с сервисами Google, используя Burp Suite для подмены заголовка хоста в запросе к серверу App Engine (*.appspot.com). Большая часть попыток вернула «404», но на одном из внутренних сайтов — yaqs.googleplex.com, — внезапно обнаружилось отсутствие верификации по логину/паролю и отсутствие каких-либо намеков на защиту.

Выявление известной уязвимости:

Россиянин обнаружил в программном обеспечении соцсети ошибку, которая с помощью специальной картинки позволяла запускать на ее серверах произвольный код. Для этого необходимо было воспользоваться уязвимостью в сервисе ImageMagick, предназначенном для быстрого масштабирования и конвертации изображений в новостной ленте Facebook, сообщает Лента.ру. Леонов случайно наткнулся на ошибку во время тестирования стороннего сервиса, изучил ее и представил всю необходимую информацию техническим службам Facebook, которые устранили уязвимость в ноябре 2016 года. В итоге соцсеть выплатила хакеру вознаграждение в 40 тысяч долларов. В 2014 году рекордную сумму в 33,5 тысяч долларов получил от Facebook специалист по кибербезопасности Реджинальдо Сильва.

Или эпохальный взлом Facebook и обнаружение бэкдора в системе, которые принесли исследователю $10.000: Как я взломал Facebook и обнаружил чужой бэкдор.

Хочу участвовать, что надо делать?

Для тех, кто решил попробовать свои силы и возможности в поиске ошибок могу посоветовать несколько основных этапов, которые приведут к победе:

Следите за новостями. Обновился скоп программы — бегом проверять новые сервисы. Производитель добавил новый функционал, расширил старый или интегрировал сторонний сервис? — большая возможность, особенно в сложной инфраструктуре допустить ошибку.

Упорство. Скрупулезное исследование, не упускать никаких деталей. Хорошая практика будет периодически сравнивать результаты прошлых проверок с текущем состоянием системы.

Поиск. Ищите и обрящете. Большинство крупных багов находят на «не публичных» поддоменах и директориях. Здесь вам пригодятся инструменты по выявлению поддоменов и хорошие листы словарей для брута директорий и поддоменов.

Исследование. Отложите автоматические сканеры, просеивайте веб-приложение (а большинство Bug Bounty связано именно с вебом) как песок сквозь сито для поиска крупинок золота. Здесь я рекомендую использовать Burp Suite или Owasp Zap — лучше инструментов нет. Почти все крупные победы в баутни — результат работы с этими инструментами (практически на любом публичном репорте можно это увидеть).

Исследуйте. Скачайте приложение для локального исследования, если это возможно. Читайте отчеты других участников — это может дать пищу для ума. Тот же взлом фейсбука — многие российские багхантеры видели этот поддомен, даже пытались с ним что-то делать — но «не докрутили». Хорошим подспорьем для этого будет ресурс: The unofficial HackerOne disclosure Timeline