Интервью c product owner Standoff 365 Bug Bounty - c0rv4x

Сегодня будет интересный разговор с человеком, который стоит за созданием и развитием bug bounty площадки Standoff 365, где зарегистрировано более 3000 хакеров. Анатолий Иванов расскажет об отношении к конкурентам, глобальных целях, самой большой выплате багхантерам , а также даст советы профессиональным и начинающим исследователям.

*далее ответы представлены в оригинальном изложении

Хотелось бы услышать здесь пару предложений о тебе для подписчиков, как вообще ты попал в Bug Bounty, чем сейчас занимаешься на площадке? 

 Я учился на факультете ВМК МГУ, там на первом курсе попал в CTF команду Bushwhackers. Начал играть в CTF, интересоваться инфосеком и затянуло. На третьем курсе начал пытаться баунтить, сидел месяцами просто ковырялся во всех программах на HackerOne. После универа успел постартапить в ScanFactory — это такая система автоматизации проверки внешнего периметра. Несколько раз участвовал в live hacking events от HackerOne, где и заработал на стартаперскую жизнь. А сейчас работаю в команде Standoff в роли Product Owner и разработчика bug bounty платформы.

Какая на данный момент самая крупная выплата на площадке?  

1 200 000 рублей.

Сколько человек в день посещают сайт и сколько репортов приносят?

На 9 декабря у нас сдано 832 отчета. Если грубо считать, то с момента запуска платформы, это по 4 отчета в день.

В день заходит в среднем 500 уникальных пользователей, а зарегистрировано 3050 исследователей.

Чего нам, багхантерам, ожидать в будущем? Может быть какой-то крутой функционал, которого нигде нет или новые программы?

Хороший вопрос! Сейчас мы работаем над удобством для исследователей, поскольку понимаем, что есть много неудобного или непривычного. Поэтому в первую очередь исправляем проблемы, а дальше перейдем к приятным фичам.

Из интересного, чего нигде нет — мы придумали очень интересные механики ачивок, которые сделаем не просто болванками-картинками в профиле, а более личными, более весомыми и полезными. Но про это расскажем ближе к релизу фичи.

Конечно, фичи — круто, но по факту все приходят искать баги, поэтому ведем переговоры с несколькими компаниями на выпуск приватных программ и активно работаем с теми, кто никогда до этого на баг баунти не листились. Такие компании всегда очень интересно исследовать, особенно когда они не из типичной области вроде интернет-сервисов или онлайн-магазинов, а из новой. Например, производители железок, large enterprise и так далее. Это позволит нам максимально разнообразить для исследователей выбор программ и дать возможность посмотреть что-то новое и необычное.

Почему у самой площадки нет bug bounty программы? 

С моей стороны будет лукавством сказать, что мы абсолютно безопасны, но у нас действительно очень много сделано для безопасности. Однако понимаем важность наличия bug bounty программы, поэтому запустим в феврале.

Как удается при таком количестве хакеров, готовых ломать всё, сохранять работоспособность сайта? 

У нас небольшая, но очень опытная команда, которая много работала в информационной безопасности и с безопасниками, поэтому в процессе обсуждения фичей и их разработки мы всегда стараемся не добавлять лишних ограничений или усложнений, потому что "это же безопасники, если они видят, что что-то сделать нельзя, они будут это ломать".

Выплаты в криптовалютах — это реально сейчас или нет? 

Рассматриваем много разных вариантов платежей, т. к. нам важно научиться платить зарубежным хакерам. Криптовалюта — один из таких вариантов, но он требует юридической проработки и получения статуса выхода из серой зоны.

Ты сам в прошлом багхантер, можешь дать совет для начинающих багхантеров?

С радостью! Сразу же быть готовым к неуспеху, причем долгому неуспеху. Если вы приходите из другой области IT, потребуется некоторое время, чтобы в голове перестроить парадигму с "интересная фича, как ее могли построить" на "интересная фича, как могли накосячить в ее построении". Так же потребуется время, чтобы разобраться в том, какие уязвимости бывают. Про многие баги разработчики и так наслышаны, но часто не так хорошо знают тонкости, edge-кейсы. Более того, бывают баги, про которые не узнаешь, пока ты занимаешься разработкой. Например, oracle padding. Это атака на криптографию, которая вполне применима, и которую я сдавал пару раз на bug bounty. Но в разработке про это мало кто пишет и рассказывает.

Как и с любой другой сферой — максимально сильно погружаться, решать задачки, смотреть видео на YouTube, читать теорию. Из задачек на веб могу посоветовать https://portswigger.net/web-security

И совет для багхантеров с опытом?

Мне всегда сначала нравится полчаса-час покопаться в приложении, посмотреть, что оно делает, для чего его создали, какие роли в нем есть и т.д. А дальше уже начинать искать баги. Это помогает в голове выстроить модель: что делает приложение, какие для него самые большие риски, как их достигнуть.

Ресерчить интересные для себя продукты и компании. Намного интереснее и веселее исследовать продукт, которым ты сам пользуешься каждый день. Вот пользуешься ты каждый день джирой — посмотри, как она работает, какие запросы отсылает, в какие сервисы обращается, где странное поведение обнаруживается и т. д. Можно разобраться, как писать свои макросы или приложеньки для джиры, что там за язык, где код выполняется и т. д. Или нравится тебе Dota, а это игра Valve, которые есть на баг баунти. Если найти возможность следить за противником в скрытых частях карты — можно сдать это на баг баунти.

Сколько разработчиков стоит за сайтом? 

Именно разработчиков (бэк + фронт) нас около 10 человек: команда общая на полигон и баг баунти. Всего над площадкой на постоянной основе трудится около двадцати человек.

В чем главное отличие Standoff 365 от HackerOne?

Мы никого не канселим и рады всем)

Кроме шуток: говоря про технические фичи, очевидно, мы пока что позади HackerOne. Но 95% необходимых фичей мы уже реализовали, дальше вектор развития у нас будет потихоньку расходиться с HackerOne. У нас ориентир на построение крепкого и дружелюбного коммьюнити. Хотим выстраивать с исследователями общение в атмосфере доверия, а не только трудовых отношений "работаю работу, зарплату платят деньгами". Поэтому у нас, например, работает Ксюша t.me/ksvark, которая развила spbctf до текущего уровня.

Еще мы развиваем баг баунти, где можно реализовать НС (недопустимое событие). Это новая идея о том, что во многих компаниях пользу от bug bounty может быть проще объяснить на примере: "Исследователи получили доступ к перс данным сотрудников и клиентов", чем "Найдена SQL инъекция в пост запросе". Сейчас такая программа запущена Positive Technologies. За реализацию НС они готовы выплатить 10 млн рублей. И мы обсуждаем с еще двумя компаниями возможность выхода к нам с НСами.

Почему хакеру нужно заливать свой паспорт, чтобы получить выплату?

Мы выступаем налоговыми агентами в выплатах вознаграждений, поэтому нам нужны паспортные данные, чтобы правильно заплатить налоги.

Как сам оцениваешь текущий размер выплат в программах? 

В среднем, хороший. Насколько я помню, компании сохранили уровень выплат после перехода с других платформ. Но хочется, чтобы было больше бонусов за хороший отчет, за интересную эксплуатацию и впечатляющую цепочку недостатков.

Планируется ли какое-то поощрение хакеров с большой репутацией? (swag) 

Это сюрприз, объявим 31 декабря.

Как часто случаются споры на площадке и как вы их решаете в таком случае?

Вопрос хороший. Сами споры случаются не часто. Кажется, за мои 4.5 месяца работы их было около пяти. В случае спора мы сами разбираемся в том, как работает баг и из собственного опыта оцениваем, есть ли возможность его переоценить. Если да, то общаемся с компанией, иногда даже созваниваемся, и обсуждаем то, почему баг оценен так, может ли он быть переоценен ввиду наших аргументов и аргументов исследователей.

У нас нет ультимативного способа заставить компанию согласиться с нами или изъять деньги и заплатить, поэтому решение о конкретной выплате всегда остается за компанией, потому что, в конце концов, это их бюджет, за который им нужно отчитываться.

Предположим, что у меня есть сайт. Какие минимальные требования для запуска своей программы?

Да особых требований и нет. У нас платформа в большинстве своем автономна и не требует нашего участия, чтобы с ней работать. То есть все программы, правила, награды компания может выставлять сама. Единственное исключение — выплаты вознаграждений. Пока что мы нужны в этом процессе, но к февралю будет готова автоматизация.

Понятно, что личный блог мы вряд ли выставим на bug bounty, потому что хочется поддерживать высокое качество работы с исследователями со стороны программы.

На h1 есть bug bounty программы без выплат — за репутацию? Почему на Standoff 365 нет таких программ?

Пока нет, но скоро будет. Мы сейчас сосредоточены на программах, которые готовы выплачивать, и у которых есть на это бюджет. Но для развития платформы в дальнейшем хотим привлекать и компании, которые пока не готовы платить, но интересуются bug bounty. Так мы постараемся запустить компании, которые раньше на таких площадках никогда не участвовали. А новый скоуп или новые технологии всегда интересно исследовать, даже если за это получаешь только репутацию и карму.

Как относитесь к конкурентам на рынке Bug Bounty?)

У нас большие и сложные цели, поэтому в качестве конкурентов мы рассматриваем международные площадки, которые годами работают на рынке. Считаю, что платформы hackerone и bugcrowd закостенели и работают на инвесторов, а мы можем себе позволить пробовать новое и экспериментировать. Мы стараемся делать охуенно (за мат извени) и стараемся общаться с нашими исследователями и оставаться для них открытыми. Открытыми о планах, о решениях в спорных вопросах, о том, что мы их ценим. То есть задача сделать баг баунти платформу с человеческим лицом.

Четко понимаю, что не всегда получается всех сделать счастливыми, но мы делаем все, чтобы так было!

Как выбрать программу для взлома?

Ох) Как выбрать подходящую баг баунти программу — каждый ответит по-своему. Думаю, надо выбирать то, в чем можешь глубоко разобраться. Но из того, на что я обычно смотрю:

·      Изученный скоуп. Да! На изученном скоупе часто можно найти отличные баги, просто потому что все считают "ну не, туда уже все тысячу раз смотрели".

·      Размер выплат, конечно, влияет. Но больше денег — больше конкуренции. Если не чувствуешь в себе силы, можно начать с программ с маленькими выплатами. Когда все получится, перейти на более оплачиваемые.

·      Лучше всегда брать программы компаний, которые занимаются понятными для тебя фичами и процессами. Если взять какой-нибудь SAP (хотя я не уверен, что у них есть баг баунти), то там можно месяцы потратить на то, чтобы разобраться с их процессами, чтобы найти в них баги. Но в долгой перспективе это может окупиться. Пример: долларовые миллионеры, которые сидят на Salesforce.

Могут ли заблокировать хакера на площадке? Что нужно сделать, чтобы это случилось?

Могут, и один раз мы заблокировали. Исследователь вел себя крайне некорректно, обращался к родителям и грубил. Конечно, не стоит разглашать баги, которые explicitly не разрешали разглашать.

Какие глобальные цели есть у Standoff 365 Bug Bounty?

Сделать международную площадку — место встречи крутых умов в ИБ. Еще мы хотим сделать использование баг баунти для компаний более простым и более доступным, чтобы они понимали, что это не так страшно и не будет необходимости в том, чтобы нанимать дополнительных людей для разгребания отчетов.

Также мы целимся на то, чтобы создать маркетплейс безопасности, где будут объединяться исследователи, баг баунти программы и продукты безопасности. Цель — не просто создать место, где эксперты аудитов смогут зарабатывать, но и любой исследователь безопасности, разработчик, тестировщик и архитектор. Все вокруг безопасности, разумеется. Но про это мы расскажем подробнее позже.

Назови 5 никнеймов хакеров, которые приходят на ум в первую очередь ;) (потенциальные участники будущих интервью)

intidc — гений безопасности. У него очень много вообще нетехнических уязвимостей, но у них такой импакт, что мама не горюй. Меня еще восхищает, то, как он развил intigriti. Все типсы, челленджи и задачки он ведет сам. twitter.com/intidc

psych0tr1a — психоз очень талантливый специалист, который очень погружен в веб. twitter.com/psych0tr1a

projectdiscovery — это не отдельный исследователь, а целая команда, которая привнесла в автомазацию баг баунти очень много. И привнесет еще больше, я уверен. github.com/projectdiscovery/

neex — сложно переоценить вклад Эмиля в развитие баг баунти и исследование уязвимостей. Очень скромный, но очень талантливый исследователь, который очень глубоко разбирается во всем, о чем рассказывает. github.com/neex/

PT Swarm в лице Арсения Шароглазова, Михаила Ключникова, Филиппа Никифорова и команды — ребята делают одни из топовых в мире исследований. На их блог обязательно нужно подписаться: swarm.ptsecurity.com/. Как минимум, их статьи и глубина мысли вдохновляют.

Ломают ли на площадке иностранцы?

Да. У нас активных около 5 иностранцев из Индии и Арабских Эмиратов.

Выплата до фикса уязвимости или после — как, считаешь, должно быть?

Думаю, что разницы нет.

Прикрепи сюда какую-нибудь картинку для читателей (может быть какой-то мем или что-то полезное)