«Белые» хакеры нашли на сайтах Минобороны США 90 уязвимостей. В ведомстве подвели итоги конкурса под названием «Взломай Пентагон». Участниками соревнования стали почти 1,5 тыс. человек. В ближайшее время они получат денежные призы. Размер вознаграждения составит от $100 до $15 тыс. — в зависимости от того, насколько серьезен обнаруженный изъян и смог ли хакер им воспользоваться. Подробности — у Альбины Хазеевой.
Фото: David B. Gleason from Chicago, IL
Министерство обороны стало первой правительственной структурой в Соединенных Штатах, запустившей программу bug bounty. Именно так называется практика выплаты поощрений за найденные в системе уязвимости. Объектом проверки были публичные ресурсы ведомства. Общий призовой фонд составил $150 тыс. Победители получат деньги после проверки — по условиям конкурса, в нем не могли участвовать лица с криминальным прошлым. Соревнование было инициативой нового подразделения Минобороны — цифровой службы. Ее глава Крис Линч заявил в эфире телеканала CBS, что сначала к идее отнеслись с подозрением.
«Очень многих нашим коллегам не понравилось, в первую очередь, название "Взломай Пентагон", но не каждый хакер – плохой. Разница в том, что мы позволяем испытывать систему на прочность тем, у кого нет вредоносных целей. Первая уязвимость была найдена через 13 минут после начала соревнований», — сообщил Линч.
Привлекать «белых» хакеров первыми начали крупные IT-компании, в частности, Google и Facebook. Microsoft долгое время отказывалась платить за обнаружение ошибок в безопасности продуктов, но осенью 2014-го о запуске программы заявила и эта корпорация. Минимальная сумма вознаграждения — $500. На сайте содержится перечень критериев, которым должна соответствовать уязвимость. Сегодня программы bug bounty реализуют даже автопроизводители, в частности, General Motors, и авиакомпании. Недавно американский перевозчик United Airlines перечислил команде взломщиков 1 млн бонусных миль. Такое сотрудничество выгодно для компаний — гораздо проще отдать гонорар хакеру, чем исправлять последствия изъяна.
Для самих программистов выявление уязвимости — не в последнюю очередь вопрос престижа, отметил консультант по интернет-безопасности компании Cisco Алексей Лукацкий.
«Разумеется, это и заработок — вознаграждение может измеряться на Западе от тысяч до десятков тысяч долларов, в России — от десятков до сотен тысяч рублей. То есть это достаточно неплохая сумма для исследователя-одиночки. Но и местами это, конечно, определенный элемент получения известности в кругу таких же специалистов», — полагает Лукацкий.
Самый известный брокер на рынке уязвимостей — компания Zerodium. Она покупает эскплойты — программы, которые позволяют воспользоваться ошибкой в безопасности системы. Удаленный перехват контроля над компьютером через Safari стоит $50 тыс., обход защиты Android или Windows Phone — $100 тыс. Выше всего ценятся изъяны в операционной системе Apple — осенью прошлого года компания заплатила $1 млн за взлом iOS 9. Это самое крупное вознаграждение в истории bug bounty. Считается, что в числе клиентов Zerodium — госструктуры и спецслужбы, в частности, АНБ и ФБР. Существуют и специальные платформы, на которых компании размещают конкурсы на контролируемый взлом своих систем, сообщил главный редактор журнала «Хакер» Илья Русанен.
«Когда компания открывает платформу bug bounty на специальном сервисе, например, на таком как HackerOne, она устанавливает размер вознаграждения. Каждая компания указывает свой скоуп — так называемую область исследования, называет домены, в которых проводятся исследование, и если человек находит баг, который подпадает под этот скоуп, он его сабитит на HackerOne, и спустя две-три недели, когда компания его устраняет, он получает свое вознаграждение», — рассказал «Коммерсантъ FM» Русанен.
Около двух лет назад о пользе сотрудничества с хакерами задумались и российские сенаторы. В Совете федерации предложили ввести регулярные проверки безопасности на сайтах госструктур. Инициатива так и не была реализована.