Сегодня интернет-компании активно применяют краудсорсинг при тестировании безопасности своих продуктов, выплачивая людям денежные вознаграждения за сообщения об уязвимостях. Такие инициативы называются «баг баунти» (англ. bug bounty). Они позволяют компаниям плотнее взаимодействовать с профессиональным сообществом, а также взглянуть на свою безопасность со стороны. Даже в крупных компаниях внутренние ресурсы ограничены, и охватить регулярным тестированием все продукты почти невозможно. Кроме того, сервисы интернет-компаний и так находятся под прицелом взломщиков — так почему бы не дать «хорошим хакерам» стимул сообщать об уязвимостях?
Уязвимость — это недостаток системы, который ставит под угрозу конфиденциальность или целостность информации в ней. Недостатки могут быть разными: от ошибок в программном коде до неправильных настроек. Обнаруженная уязвимость, о которой стало известно вовремя, — это, потенциально, сохранённые в безопасности учётные записи тысяч пользователей и гарантия конфиденциальности данных.
Пионером «баг баунти» в интернете принято считать компанию Netscape, которая ещё в 1995 году объявила о награде до 1000 долларов за обнаружение критичных уязвимостей в своём браузере. Ошибки, получившие тогда максимальную награду, кажутся по нынешним меркам весьма наивными: так, одно из первых мест заняла уязвимость, позволявшая читать историю посещений пользователя. Сложно представить это сейчас, когда некоторые уязвимости в браузерах позволяют злоумышленникам получить полный доступ к компьютеру.
В 2004 году компания Mozilla, памятуя об успешном опыте предшественника, учредила свою программу вознаграждения и предлагала 500 долларов за уязвимости в браузере Firefox. За Mozilla в 2010 году последовал Google со своей программой поощрения за уязвимости. За найденные ошибки Google предлагал от 500 до 31337 (так выглядит слово «elite» на хакерском языке) долларов. В 2011 году аналогичную программу запустил Facebook.
Год назад к этой деятельности присоединился и Яндекс, открыв свою «Охоту за ошибками». Мы платим за уязвимости, обнаруженные в наших сервисах и приложениях, от 100 до 1000 долларов (а в особых случаях и больше), и мы первая компания в России, которая запустила подобную инициативу. За прошедшие 12 месяцев нам прислали более 1000 писем, мы исправили более 300 ошибок и выплатили исследователям более пяти миллионов рублей.
Приятно сознавать, что и другие участники российского интернет-рынка последовали за нами. Мы считаем, что программа премирования исследователей безопасности — это признак хорошего тона, подобная программа должна быть у каждой интернет-компании.
За год существования «Охоты за ошибками» мы поняли, что в ней можно многое улучшить. Нам всегда хотелось, чтобы в центре Охоты стояли ее участники — исследователи безопасности, ищущие ошибки в сервисах. Поэтому мы разработали совершенно новую концепцию «Охоты за ошибками» и уверены, что нововведения не оставят равнодушными ни текущих, ни новых «охотников».
Подробности новой «Охоты за ошибками» будут анонсированы на конференции ZeroNights — международной конференции, посвящённой практическим аспектам информационной безопасности. Она пройдет в Москве 7-8 ноября этого года. Будем рады видеть вас там!
Служба информационной безопасности Яндекса
Охотники за ошибками
31 октября 2013, 13:48