HackerOne больше не нужен
В России в самом скором будущем появятся отечественные платформы по покупке услуг так называемых «белых» или «этичных» хакеров, пишет «Коммерсант». Проектов будет как минимум два – над ними в настоящее время работают компании «Киберполигон» и Positive Technologies.
В обоих случаях это будут аналоги сервиса HackerOne, считающегося международным, но на деле являющимся американским. Штаб-квартира владеющей им компании находится в Сан-Франциско (США).
В целом суть «белого» хакерства (символ этого движения – белая шляпа, white hat) заключается в возможности для кибервзломщиков оттачивать свое мастерство, и попутно зарабатывать на своем ремесле. Успешные взлом и поиск уязвимостей приносят им вознаграждение от организаторов программ. Услуги «белых» хакеров пользуются спросом у многих крупных компаний, а выплата им вознаграждений стала отдельным явлением и получила название bug bounty.
В марте 2022 г. HackerOne оставил без денег своих пользователей из России и Белоруссии. Это был его вклад в международные антироссийские санкции.
HackerOne – это своего рода агрегатор программ bug bounty. Он пользовался популярностью у российских «этичных» хакеров, но случившееся в марте 2022 г. сделало данную платформу бесполезной для них.
Ждать осталось недолго
Российская платформа вознаграждений для «белых» хакеров за авторством «Киберполигона» заработает 1 апреля 2022 г. Positive Technologies задержится на месяц и выйдет на этот рынок в мае 2022 г. О своих планах по созданию такой платформы компания, как сообщал CNews, заявляла еще в ноябре 2021 г., то есть задолго до спецоперации, санкций, глобальной «отмены» России и нехорошего поступка HackerOne по отношению к россиянам.
По информации «Коммерсанта», свой агрегатор программ bug bounty собирается запустить и оператор связи «Ростелеком». Однако на 30 марта 2022 г. не было сведений ни о степени готовности проекта, ни о сроках его запуска, ни об условиях участия в нем как хакеров, так и компаний, предлагающих вознаграждение за взлом.
Хакеры станут миллионерами
«Этичные» хакеры, решившие пользоваться платформой «Киберполигона», смогут зарабатывать вплоть до 3 млн руб. за поиск и нахождение критичных уязвимостей. Со слов гендиректора «Киберполигона» Луки Сафонова, после запуска платформы в течение двух-трех месяцев на ней будет запущено 10-15 программ bug bounty, а количество участников (хакеров) достигнет 2500.
Сафонов добавил также, что платформа предлагает запуск не только открытых, но и приватных программ bug bounty. «Специфика российского бизнеса такова, что информацию об уязвимостях клиенты воспринимают как репутационный риск, поэтому предпочитают участвовать в программах непублично», – сказал он.
Платформа Positive Technologies, до запуска которой остаются считанные недели, сможет предложить хакерам вознаграждение в размере от 5000 руб. до 400 тыс. руб. в зависимости от степени критичности найденной ими уязвимости. Руководитель отдела анализа защищенности приложений Positive Technologies Ярослав Бабин сообщил изданию, что в некоторых случаях размер вознаграждения может быть увеличен, и что «цена за реализацию недопустимых событий и инцидентов может быть в десятки раз выше».
Ярослав Бабин отметил, что в настоящее время Positive Technologies ведет переговоры с потенциальными клиентами площадки. «Спрос на подобные услуги есть у 10-20 компаний, но в следующем году (в 2023 г. – прим. CNews) их число может вырасти до 50», – сказал он, отметив, что в течение трех лет основными заказчиками «этичного» взлома будут банки, ИТ-компании, а также бизнес, работающий в сфере e-commerce.
Заказчиков и исполнителей будет в избытке
По мнению представителей сферы российской кибербезопасности, предлагаемые «Киберполигоном» и Positive Technologies расценки за услуги «белых» хакеров находятся на уровне международных. Об этом заявил изданию коммерческий директор компании «Код безопасности» Федор Дбар.
В популярности отечественных платформ среди российских хакеров не сомневается и руководитель отдела анализа защищенности Angara Security Сергей Гилев, хотя его аргументы несколько иные. С его слов, хакеры переключатся на них после отказа от сотрудничества с ними со стороны международных платформ.
К слову, в ноябре 2021 г., когда Positive Technologies объявила о планах по запуску платформы bug bounty, менеджер по развитию бизнеса группы Angara Анна Михайлова высказывалась в негативном ключе о возможности появления в России аналога HackerOne. Она полагала, что «подобная схема может использоваться компаниями как очередной критерий для отказа в вознаграждении. «Оценка рисков и тем более ущерба – не настолько прозрачный процесс, особенно когда его нужно увязывать с уязвимостями», – заявляла тогда Анна Михайлова.
У российских компаний уже есть опыт участия в программах bug bounty. Например, через все ту же HackerOne услуги «этичных» хакеров заказывала «Азбука вкуса», хотя у нее есть и собственная внутренняя программа вознаграждения, пишет «Коммерсант». Такая же программа с 2021 г. есть и у Wildberries – одного из крупнейших отечественных интернет-магазинов.