Одним из наиболее стремительно развивающихся в последние годы направлений услуг в сфере инфобеза является тестирование на проникновение. Мир стремительно меняется, всё более безвозвратно скатываясь в тотальную цифровизацию жизнедеятельности человека. Чем больше становится электронных услуг, девайсов и приложений – тем больше в них потенциальных уязвимостей и угроз. Это эволюционный процесс, предпосылок к сворачиванию которого сейчас объективно не имеется.
Многие из производителей весомых программных продуктов, однажды проиграв (или поняв, что проигрывают) войну хакерам-самородкам, отыскали уловку №22, которая решила их проблемы если не совершенно, то во многом: такие компании, типа Гугла или Эппла…внезапно предложили всем желающим ломать их вовсю! Пока руки не отсохнут!
Поначалу такая идея могла показаться дикой, однако она спровоцировала рост движения «whitehats» по всему миру – этичных хакеров, которые получают кайф не просто от взлома «…потому что я могу…», а с целью инсталлировать решительным образом мир во всём мире. Сообщество «whitehats» денно и нощно трудится над каждым более менее значимым продуктом, который полезен обществу, отыскивая малейшие уязвимости и бреши в защите. О таких уязвимостях «whitehats» сообщают вендору (как правило, через специализированные площадки типа HackerOne или BugCrowd). Вендор же, счастливый тем, что внимание к его продукту оказалось привлечено «whitehats» с благими намерениями, выплачивает этим «whitehats» сообразное вознаграждение, размер которого напрямую зависит от сложности и изощренности обнаруженной уязвимости.
Таким образом, серьёзные разрабы, помимо содержания собственного штата тестировщиков ПО, озаботились еще и тем, чтобы подтолкнуть лучших из «whitehats» к тестированию своих продуктов – через программы «багбаунти». Ну что тут скажешь…задумка прекрасная!
Пентест по принципу «багбаунти» – это тестирование, оплата за которое производится при обнаружении существенной уязвимости, сведения о которой оцениваются владельцем соответствующего ресурса, сервиса или ПО. Что характерно, основными игроками на рынке «багбаунти» являются именно те компании, которые можно охарактеризовать как технологических гигантов – это Apple, Google, Eset и другие. В своей официальной политике они прямо призывают всё мировое сообщество тестировать и тестировать не покладая рук их продукты, доступные на рынке, и сообщать об обнаруженных багах владельцу – то есть корпорации.
Сейчас вышло так, что посредники вроде HackerOne или BugCrowd имеют уже достаточно серьезный порог вхождения – для многих он становится недосягаемым. Начинающим «whitehats», а также пентестерам «средней руки» делать там нечего, поскольку они не выдержат конкуренции от «динозавров пентеста», которые там регулярно пасутся и фактически выгребают весь ресурс денежных вознаграждений.
Поэтому для многих «whitehats» первым домом становятся Платформы поменьше, без таких больших выплат, но и без этого проклятого порога вхождения, через который уже не прорваться. Одной из таких Платформ является молодая Платформа «БагБаунтиБай» (www.bugbounty.by), релиз бета-версии которой состоялся 1 октября 2020.
Платформа «БагБаунтиБай» позволяет владельцам веб-ресурсов и веб-приложений (как правило, небольших) сэкономить большие деньги на производство пентеста в его стандартном виде, а также сократить время на поиски удобных кандидатур и согласование договоров.
В бета-версии Платформы прямая монетизация не предусмотрена, поскольку целями бета-версии являются: обкатка самой Платформы и устранение выявляемых ошибок логики и неудобств для пользователей; определение круга наиболее талантливых молодых пентестеров для формирования своего сообщества; наглядная демонстрация «среднего скилла» для заказчиков. Поэтому на этапе бета-версии работа ведется за баллы репутации. Три репутационные группы на Платформе (1-100, 101-500, 500+) обладают совершенно разными возможностями и полномочиями. Исполнители с рейтингом 500+ получают доступ к самым интересным Заказам в первую очередь (и эксклюзивно видят их в первые сутки размещения), а Заказчики с рейтингом 500+ могут не только самостоятельно назначать приглянувшегося им в процессе работы Исполнителя, но и право на размещение своей формы Отчета для заполнения.
Каждый зарегистрировавшийся на стадии бета-версии в качестве Заказчика участник получает в подарок от Платформы или от партнера Платформы 100 баллов на свой аккаунт, которые могут быть им потрачены на одно тестирование своего ресурса по методологии «багбаунти».
Каждый зарегистрировавшийся на стадии бета-версии в качестве Исполнителя участник получает в подарок от Платформы возможность быстро прокачать собственный аккаунт до приемлемого уровня репутации: за каждый выполненный и не оспоренный Заказ начисляются не стандартные +1, а +5 или +10 баллов (в зависимости от стоимости Заказа в баллах: 50 или 100). Таким образом, можно быстро перейти в следующую репутационную группу, что очень пригодится впоследствии. После релиза основной версии баллы репутации за любой заказ вне зависимости от его срочности и сложности начисляются стандартно: +1 за каждый выполненный заказ. Для тех, кто прокачает свой рейтинг в период бета-тестирования, такие баллы репутации, разумеется, перейдут на аккаунты полной версии.
На Платформе «Багбаунтибай» без проблем может зарегистрироваться любой Заказчик. При размещении Заказа надо будет только подтвердить право владения ресурсом, который размещается в Заказе. Что касается Исполнителей, им придется включить мозги и проявить смекалку, чтобы зарегистрироваться на Платформе. Это стандартная практика. Нужно немного покреативить и обойти ловушки, чтобы завершить процесс регистрации. Скажем так, пентестер даже «средней руки» без труда сможет их преодолеть.
В целом, выполнение Заказов (или попытки их выполнения) на любой Платформе «багбаунти» дают всем желающим начинающим пентестерам возможность получить бесценный практический опыт совершенно легальным способом – с прямого разрешения владельца тестируемого ресурса. Это отличная прокачка скиллов для тех, кто планирует связать свою жизнь с тестированием на проникновение.
Многие из производителей весомых программных продуктов, однажды проиграв (или поняв, что проигрывают) войну хакерам-самородкам, отыскали уловку №22, которая решила их проблемы если не совершенно, то во многом: такие компании, типа Гугла или Эппла…внезапно предложили всем желающим ломать их вовсю! Пока руки не отсохнут!
Поначалу такая идея могла показаться дикой, однако она спровоцировала рост движения «whitehats» по всему миру – этичных хакеров, которые получают кайф не просто от взлома «…потому что я могу…», а с целью инсталлировать решительным образом мир во всём мире. Сообщество «whitehats» денно и нощно трудится над каждым более менее значимым продуктом, который полезен обществу, отыскивая малейшие уязвимости и бреши в защите. О таких уязвимостях «whitehats» сообщают вендору (как правило, через специализированные площадки типа HackerOne или BugCrowd). Вендор же, счастливый тем, что внимание к его продукту оказалось привлечено «whitehats» с благими намерениями, выплачивает этим «whitehats» сообразное вознаграждение, размер которого напрямую зависит от сложности и изощренности обнаруженной уязвимости.
Таким образом, серьёзные разрабы, помимо содержания собственного штата тестировщиков ПО, озаботились еще и тем, чтобы подтолкнуть лучших из «whitehats» к тестированию своих продуктов – через программы «багбаунти». Ну что тут скажешь…задумка прекрасная!
Пентест по принципу «багбаунти» – это тестирование, оплата за которое производится при обнаружении существенной уязвимости, сведения о которой оцениваются владельцем соответствующего ресурса, сервиса или ПО. Что характерно, основными игроками на рынке «багбаунти» являются именно те компании, которые можно охарактеризовать как технологических гигантов – это Apple, Google, Eset и другие. В своей официальной политике они прямо призывают всё мировое сообщество тестировать и тестировать не покладая рук их продукты, доступные на рынке, и сообщать об обнаруженных багах владельцу – то есть корпорации.
Сейчас вышло так, что посредники вроде HackerOne или BugCrowd имеют уже достаточно серьезный порог вхождения – для многих он становится недосягаемым. Начинающим «whitehats», а также пентестерам «средней руки» делать там нечего, поскольку они не выдержат конкуренции от «динозавров пентеста», которые там регулярно пасутся и фактически выгребают весь ресурс денежных вознаграждений.
Поэтому для многих «whitehats» первым домом становятся Платформы поменьше, без таких больших выплат, но и без этого проклятого порога вхождения, через который уже не прорваться. Одной из таких Платформ является молодая Платформа «БагБаунтиБай» (www.bugbounty.by), релиз бета-версии которой состоялся 1 октября 2020.
Платформа «БагБаунтиБай» позволяет владельцам веб-ресурсов и веб-приложений (как правило, небольших) сэкономить большие деньги на производство пентеста в его стандартном виде, а также сократить время на поиски удобных кандидатур и согласование договоров.
В бета-версии Платформы прямая монетизация не предусмотрена, поскольку целями бета-версии являются: обкатка самой Платформы и устранение выявляемых ошибок логики и неудобств для пользователей; определение круга наиболее талантливых молодых пентестеров для формирования своего сообщества; наглядная демонстрация «среднего скилла» для заказчиков. Поэтому на этапе бета-версии работа ведется за баллы репутации. Три репутационные группы на Платформе (1-100, 101-500, 500+) обладают совершенно разными возможностями и полномочиями. Исполнители с рейтингом 500+ получают доступ к самым интересным Заказам в первую очередь (и эксклюзивно видят их в первые сутки размещения), а Заказчики с рейтингом 500+ могут не только самостоятельно назначать приглянувшегося им в процессе работы Исполнителя, но и право на размещение своей формы Отчета для заполнения.
Каждый зарегистрировавшийся на стадии бета-версии в качестве Заказчика участник получает в подарок от Платформы или от партнера Платформы 100 баллов на свой аккаунт, которые могут быть им потрачены на одно тестирование своего ресурса по методологии «багбаунти».
Каждый зарегистрировавшийся на стадии бета-версии в качестве Исполнителя участник получает в подарок от Платформы возможность быстро прокачать собственный аккаунт до приемлемого уровня репутации: за каждый выполненный и не оспоренный Заказ начисляются не стандартные +1, а +5 или +10 баллов (в зависимости от стоимости Заказа в баллах: 50 или 100). Таким образом, можно быстро перейти в следующую репутационную группу, что очень пригодится впоследствии. После релиза основной версии баллы репутации за любой заказ вне зависимости от его срочности и сложности начисляются стандартно: +1 за каждый выполненный заказ. Для тех, кто прокачает свой рейтинг в период бета-тестирования, такие баллы репутации, разумеется, перейдут на аккаунты полной версии.
На Платформе «Багбаунтибай» без проблем может зарегистрироваться любой Заказчик. При размещении Заказа надо будет только подтвердить право владения ресурсом, который размещается в Заказе. Что касается Исполнителей, им придется включить мозги и проявить смекалку, чтобы зарегистрироваться на Платформе. Это стандартная практика. Нужно немного покреативить и обойти ловушки, чтобы завершить процесс регистрации. Скажем так, пентестер даже «средней руки» без труда сможет их преодолеть.
В целом, выполнение Заказов (или попытки их выполнения) на любой Платформе «багбаунти» дают всем желающим начинающим пентестерам возможность получить бесценный практический опыт совершенно легальным способом – с прямого разрешения владельца тестируемого ресурса. Это отличная прокачка скиллов для тех, кто планирует связать свою жизнь с тестированием на проникновение.
