2018/12/13 14:40:33

Багхантеры

.

Содержание

2018

Хакеры зарабатывают по $500 тыс. в год на поиске уязвимости по заказу крупных компаний

Лучшие хакеры-фрилансеры, которых для поиска уязвимостей нанимают крупные компании и правительственные организации, вроде Tesla Motors и Министерство обороны США, могут зарабатывать в год больше $500 тыс. Об этом 12 декабря 2018 года сообщило агентство CNBC со ссылкой на данные платформы Bugcrowd, объединяющей так называемых этичных или «белых» хакеров, которые практикуют компьютерные взломы для привлечения внимания к проблемам кибербезопасности.

«Белые» хакеры работают по четко сформулированному контракту на определенную компанию и получают выплаты, когда находят в ИТ-инфраструктуре фирмы какую-то брешь. Размер вознаграждения зависит от серьезности выявленной проблемы.

На фоне нехватки специалистов в области информационной безопасности (ИБ) все больше компаний отдают предпочтение альтернативным способам защиты своих ИТ-систем, отмечает глава Bugcrowd Кейси Эллис (Casey Ellis). По некоторым подсчетам, к 2021 году число открытых ИБ-вакансий может достигнуть 3,5 миллиона.

Лучшие хакеры-фрилансеры, которых для поиска уязвимостей нанимают крупные компании и правительственные организации, вроде Tesla и Министерство обороны США, могут зарабатывать в год больше $500 тыс.

В 2017 году крупная технологическая компания выплатила через Bugcrowd самое внушительное за историю платформы вознаграждение за одну выявленную уязвимости - $113 тыс. Данные Bugcrowd говорят о том, что в 2017 году суммы выплат поднялись еще на 37%.

Половина этичных хакеров параллельно с фрилансом где-то работают на постоянной основе. Средний годовой заработок 50 ведущих хакеров составляет около $145 тыс., рассказал Эллис. В ходе опроса, проведенного Bugcrowd, около 80% ИБ-специалистов сообщили, что платформа помогла им найти работу в сфере кибербезопасности.

Подавляющее большинство багхантеров, сотрудничающих с Bugcrowd, - это люди в возрасте от 18 до 44 лет, но есть среди аудитории платформы и несколько «ИБ-вундеркиндов», которые еще учатся в школе. Примерно четверть хакеров, работающих с Bugcrowd, не оканчивали вуз, но, тем не менее, обладают необходимыми навыками для поиска уязвимостей.[1]

Раскрытие исходных кодов ПО SAP, Symantec и McAfee российским властям

25 января 2018 года агентство Reuters сообщило, что SAP, Symantec и McAfee соглашались раскрыть российскому Министерству обороны исходные коды некоторых своих программных продуктов для поиска уязвимостей, которые могли бы использовать хакеры для взлома ИТ-систем.

Поиск слабых мест в программном коде продуктов технологических компаний — обязательное условие закупки ПО государственными и военными подрядчиками из России, отмечет агентство. Оно изучило сотни документов, посвященных закупкам американскими государственными органами и законодательному регулированию в России.

SAP, Symantec и McAfee раскрыли России исходные коды ПО для поиска уязвимостей

По мнению экспертов в области кибербезопасности и американских законодателей, такая практика ставит под угрозу защиту компьютерных сетей не менее 10 ведомств США, поскольку программное обеспечение, которое ИТ-компании показывают российским властям, используется для защиты от хакеров критически важных систем Пентагона, NASA, Министерства иностранных дел, ФБР и разведки.

Теоретически найденные в софте уязвимости Москва может использовать в своих интересах, отмечает издание. Вместе с тем Reuters пока не удалось найти ни одного примера, когда было бы установлено, что подобная практика привела к кибератакам.

Представители компаний SAP, Symantec, McAfee и Micro Focus говорят, что изучение продуктов проходит под контролем разработчиков на защищенном оборудовании, где нет возможности изменить или удалить части кода, поэтому о нарушении безопасности речь идти не может.

В SAP пояснили, что просмотр исходных кодов осуществляется в абсолютно безопасном и контролируемом компанией помещении, где «строго запрещены» любые записывающие устройства и даже карандаши.

Однако на фоне растущего беспокойства со стороны американских властей Symantec и McAfee перестали разрешать такие проверки своего ПО, а Micro Focus значительно сократила их число в конце 2017 года.

«
Даже позволяя людям просто посмотреть исходный код в течение минуты, возникает очень большая опасность, — говорит исполнительный вице-президент по технологиям защиты сетей Trend Micro Стив Квейн (Steve Quane).
»

По его словам, из-за этих рисков, которым подвергается американское правительство, Trend Micro отказала России в доступе к исходникам системы TippingPoint.

Квейн отметил, что ведущих ИБ-эксперты могут быстро обнаружить уязвимости в ПО, просто изучив код. Такие специалисты есть и в Trend Micro, добавил он.

По мнению конгрессмена от Республиканской партии Ламара Смита (Lamar Smith), явно нужны законы, которые бы обеспечили более высокий уровень кибербезопасности федеральных ведомств и связанных с ними организаций.

Представитель Symantec заверила Reuters, что выпущенная в конце 2016 года версия межсетевого экрана Symantec Endpoint Protection никогда не проходила проверку исходных кодов, а предыдущие версии получили множество обновлений с момента детального изучения продукта российскими властями. Symantec продавала прежнюю версию Endpoint Protection до 2017 года и намерена выпускать обновления для этого ПО до 2019 года.

В McAfee подтвердили полученные Reuters данные о том, что в 2015 году компания предоставила доступ к коду системы управления информацией о безопасности и событиями о безопасности (Security Information and Event Management) НПО «Эшелон», которое проводила проверку от имени ФСТЭК. Несмотря на это Министерство финансов США и Служба безопасности министерства обороны продолжают пользоваться этим продуктом для защиты своих сетей, сообщает Reuters со ссылкой на контракты, которые есть в распоряжении агентства.

В McAfee отказались давать дополнительные комментарии по запросу Reuters. Ранее в компании говорили, что проверка исходных кодов по требованию России проводились в помещениях на территории США.[2]

Одним из продуктов, который исследовал «Эшелон» на предмет уязвимостей, было решение ArcSight ESM, которое с момента продажи софтверного бизнеса HPE развивает британская компания Micro Focus. Это программное обеспечение использует Пентагон, а также не менее семи американских ведомств, включая Аппарат директора национальной разведки и разведывательное подразделение Госдепартамента.

В HPE заявили, что ни один из текущих продуктов компании не подвергался анализу исходного кода российскими властями. Правда, после сделки с Micro Focus американская компания избавилась от большего числа софтверных активов.

Президент группы компаний НПО «Эшелон» Алексей Марков рассказал Reuters, что американские компании, чьи продукты исследовались на уязвимости, изначально выражали озабоченность процессом сертификации.

«
Чем меньше человек, принимающий решение, понимает в программировании, тем больше у них паранойя. Однако в процессе уточнения деталей при выполнении сертификации опасности и риски размываются, — сказал Марков.
»

По его словам, «Эшелон» всегда уведомляет ИТ-компании перед передачей данных о любых обнаруженных уязвимостей российским властям, давая возможность производителям устранить недостатки. Изучение исходного кода продуктов «существенного улучшает их безопасность», отметил он.

Бывший заместитель директора Агентства национальной безопасности США Крис Инглис (Chris Inglis) возражает: «Когда вы сидите за столом с карточными шулерами, вы не можете никому доверять. Я бы никому не показывал код».

Россия в тройке стран по числу багхантеров

Багхантеры (от англ. bug - ошибка; hunter - охотник) зарабатывают в разы больше программистов, свидетельствуют данные опроса HackerOne — платформы, организующей проекты Bug Bounty, в рамках которых за найденные ИБ-уязвимости хакерам выплачиваются денежные поощрения. При этом Россия входит в тройку стран по количеству таких специалистов.

Согласно результатам исследования, опубликованным в январе 2018 года, размер премий, которые в среднем получают около 1700 хакеров из разных стран, зарегистрированных на HackerOne, в 2,7 раза больше среднего заработка инженеров-программистов, сообщает Bleeping Computer.

Россия вошла в тройку стран по числу хакеров, ищущих уязвимости за деньги

Опрос показал, что наибольшую выгоду от участия в Bug Bounty-программах извлекают ловцы уязвимостей из развивающихся стран. Например, в Индии заработок лучших багхантеров может быть в 16 раз выше медианной зарплаты штатных программистов компаний.

Также поиск ИБ-уязвимстей за деньги способен обеспечить безбедное существование в Аргентине, Египте, Гонконге, Филиппинах и Латвии. В этих странах борцы с багами в среднем получают от 8,1 до 5,2 раза больше, чем обычные разработчики софта.

Впрочем, «охота на уязвимости» — дело прибыльное и для выходцев из развитых стран, хотя разница с зарплатами программистов здесь не столь впечатляющая. Например в США и Канаде опытные багхантеры смогут получить в 2,4 и 2,5 раза больше, а в Германии и Израиле превосходство на средним заработком программистов составляет 1,8 и 1,6 раза.

В отчете HackerOne сообщается и о некоторых других интересных фактах. В частности, исследование показало, что Россия входит в тройку лидеров по числу хакеров, участвующих в проектах Bug Bounty, уступая только Индии и США. На долю первых двух стран приходится 23% и 20% участников HackerOne, а вклад РФ составляет 6%. Также в топ-5 оказались Пакистан и Великобритания с показателем в 4% от общего числа багхантеров у каждой.[3]

Примечания