Один из видов заработка для программистов – поиск уязвимостей в продуктах IT-компаний с помощью программ bug-bounty. Такой вид деятельности называют белым хакингом, а специалистов – этичными хакерами или баг-хантерами. Они ищут недостатки в программном обеспечении и сервисах и сообщают о них руководству компании, тем самым помогая исправить ошибку.
Это золотая жила для тестировщиков, которые по сравнению с разработчиками имеют меньшую оплату и могут таким образом уравновесить свои финансовые возможности. Но в общем ловить крупную рыбу могут все, кто разбирается в коде — и любители, и профессиональные программисты.
Читайте также: «Учиться программировать самостоятельно или идти на курсы разработчиков – что выбрать?»
Что такое bug-bounty
Bug-bounty – это политика поощрения компаниями белых хакеров. За уведомление об уязвимости можно получить от небольшого гонорара в $100-150 до нескольких сотен тысяч долларов. Все зависит от того, насколько серьезна ошибка, и к каким убыткам она могла бы привести в случае, если бы ею воспользовались злоумышленники.
Что означает термин баг-баунти? Bug – это жаргонное название ошибок в коде, слово дословно переводится как «жук». Bounty означает «вознаграждение», «подарок».
Не всегда вознаграждением становятся деньги – это может быть, например, бесплатный доступ к сервисам. Мотивацией поиска багов может быть и приобретение опыта и обучения. К примеру, Google предлагает участникам своих программ передать полученное вознаграждение в благотворительные организации, если они осуществляли работу не ради денег.
Охота на баги – это в известной степени лотерея. Хакер сначала находит уязвимость, затем создает отчет о ней (баг-репорт), присылает компании и ожидает решения. В зависимости от важности найденной ошибки и уровня ее угрозы, компания самостоятельно определяет сумму вознаграждения. Иногда может случаться, что компания «примет к сведению» предоставленную информацию, поблагодарит хакера и на том сотрудничество завершится. Поэтому перед началом работы нужно обязательно ознакомиться с правилами программ баг-баунти, читать, какие уязвимости оплачиваются, а какие не считаются важными.
Также все зависит от качества выполнения отчета — если баг-хантер подробно расписывает проблему и предлагает методы ее решения, он получит большее вознаграждение, чем предоставивший поверхностный отчет.
Но даже проделав хорошую работу, специалист не может быть уверен в том, что получит деньги. Если сразу несколько баг-хантеров сообщают об одной ошибке, то приз получает тот, кто был первым.
И все же вознаграждения, которые предлагают компании, достойны попыток, ведь благодаря им можно получить гонорар от нескольких сотен до нескольких сотен тысяч долларов, а самая высокая ставка в программах баг-баунти пока достигает двух миллионов.
Bug-bounty программы от компаний
Программы вознаграждений можно разделить на постоянные и временные:
-
Постоянные программы действуют постоянно и направлены на поиск наиболее важных и распространенных ошибок в коде продуктов, широко используемых потребителем. Зайдя на сайт IT-компании, вы сможете найти правила подачи отчетов и ориентировочные суммы выплат. Иногда бывает, что такой прайс компания не предоставляет, принимая отдельные решения по каждому баг-репорту. Введя в поиск запрос «название компании + bug bounty» вы скорее всего найдете такую программу.
-
Временные программы — это нечто вроде открытого тестирования, в котором могут принять участие кто угодно. Компания объявляет сроки, в течение которых принимает отчеты о найденных уязвимостях и определяет, кому достанутся денежные вознаграждения. Чаще всего таким образом тестируют новые продукты.
Здесь мы расскажем о постоянных программах от компаний, которыми можно воспользоваться в любое время.
Facebook, Instagram и другие продукты компании Meta
Компания Meta вознаграждает белых хакеров за поиск уязвимостей в своих продуктах, таких как Facebook, Messenger, Instagram, WhatsApp, Workplace и других приложениях, а также в приложениях с открытым кодом. В правилах вы сможете прочесть, каким образом можно осуществлять тестирование ошибок.
-
Тестирование можно проводить только с собственного аккаунта, либо тестового, либо чужого, но только при наличии письменного согласия.
-
Делиться с кем-то информацией об обнаруженной ошибке можно только после того, как компания проведет расследование и сделает вывод об уязвимости.
-
При поиске ошибок не разрешается взаимодействовать с аккаунтами других людей и получать доступ к их личной информации без письменного согласия.
Это только некоторые пункты, которые мы решили вынести в статью, на самом же деле их больше. У каждой компании есть подобный перечень, потому еще раз подчеркиваем — перед началом работы внимательно читайте правила.
Meta не объявляет расценки за найденные баги, оставляя за собой право самостоятельно назначать вознаграждение в каждом случае.
Amazon
Один из самых больших маркетплейсов мира Amazon выложил для баг-хантеров перечень вознаграждений за найденные ошибки. Компания отмечает, что в списке указаны самые высокие вознаграждения, а более точно сумма будет определяться при анализе баг-репорта.
Вот таким образом платформа оценивает найденные ошибки по рискам:
-
Критические — $10 000-$20 000
-
Высокие — $1500-$5000
-
Средние — $350-500
-
Низкий уровень угрозы — $150.
Здесь также есть целый ряд исключений и оговорок. Так, в интересы программы не входят ошибки, найденные в IP-пространстве AWS (это платформа облачных технологий, принадлежащая Amazon, но все же другой компании).
Запрещено нацеливать тестовые атаки на сотрудников и клиентов Amazon и требовать, чтобы вам заплатили за найденный баг, угрозой его использования против компании.
Microsoft
Детище Билла Гейтса также объявило охоту за багами и выложило довольно обширный список вознаграждений, которые можно получить за найденные ошибки.
Наибольшие суммы — по $100 000 за уязвимости в сервисах Identity, включая Microsoft Account, Azure Active Directory или выбранные стандарты OpenID, а также за поиск методов обхода средств защиты, встроенных в последнюю версию операционной системы Windows.
Apple
Компания Apple имеет фиксированную программу вознаграждений за определенные виды уязвимостей. Прайс и правила получения можно прочесть по ссылке.
Одно из крупнейших вознаграждений компания предлагает за обнаружение уязвимостей, через которые можно совершить атаку зеро-клик.
А этим летом Apple объявила гонорар за обнаружение ошибки в безопасности для новой функции режима блокировки, призванного защитить пользователей от атак шпионских программ. Программа баг-баунти заработает уже этой осенью – следите за новостями компании.
Также IT-гигант удвоил выплату за результативные поиски уязвимостей в режиме блокировки со стандартного миллиона до $2 000 000 — это самая высокая сумма за найденные ошибки в отрасли.
Google предлагает программу вознаграждений за найденные ошибки во всех своих продуктах. Это касается всех сервисов приложений и служб, размещенных на доменах blogger.com, google.com, projectbaseline.com, youtube.com, verily.com, onduo.com, а также ОС Android, браузера Chrome и стороннего программного обеспечения с открытым кодом, части которого используются в разработках самого Google.
Теперь объясним, что означает последняя фраза. При создании программного обеспечения компания не всегда заново пишет код, а может использовать открытые библиотеки. Это позволяет экономить время и усилия и не делать лишнюю работу, уже выполненную другими программистами. Выплачивая вознаграждение за такие ошибки, компания не только защищает себя и своих клиентов, но и делает более безопасным все пространство интернета.
Самая большая предложенная компанией сумма вознаграждения – $31 337.
Читайте также: «Как убрать российские сайты из поиска Google».
PornHub
Да, порносайты также заботятся о своей безопасности, а особенно такой известный ресурс как PornHub. О баг-баунти программе от него шутят, что это хороший способ совместить приятное с полезным. Так или иначе, найдя баг на порнохостинге, можно получить до $5000.
Кстати, вы могли заметить, что для Amazon и PornHub программа вознаграждений размещена не на самом ресурсе, а на платформе, специализирующейся на посреднических услугах между баг-хантерами и IT-компаниями. Это выгодно для проектов, которым слишком дорого держать собственный штат экспертов, которые будут выносить вердикты по баг-репортам.
Bug-bounty платформы
Это отдельный вид бизнеса, позволяющий пользоваться услугами белых хакеров молодым или локальным компаниям с небольшими бюджетами, а также сервисам, которые сами не занимаются программной разработкой. Но вопрос не только в том, что у всех компаний достаточно ресурсов или персонала, чтобы объявлять собственную программу поиска багов. Большинство проектов не столь известны, чтобы баг-хантеры целенаправленно искали с ними сотрудничество. Потому и существуют такие «биржи», на которых IT-компании выкладывают предложения, а соискатели пробуют силы в охоте на уязвимости.
HackerOne
Это одна из старейших компаний, которая стала использовать в целях кибербезопасности опыт сообщества белых хакеров и предлагать их услуги IT-структурам по всему миру. HackerOne существует с 2012 года и имеет главный офис в Сан-Франциско, офисы в Лондоне и Нидерландах.
Компания была создана с целью сделать Интернет более безопасным и уже 10 лет провозглашает эту идею как свою главную миссию.
Bugcrowd
Мощная краудсорсинговая платформа, основанная в 2011 году в Австралии. Bugcrowd специализируется на широком спектре уязвимостей и сотрудничает с крупными мировыми бизнес-игроками. Среди них такие компании, как Mastercard, Tesla, Fitbit, Atlassian, Square, Samsung; платформа выполняет заказы министерства обороны США и ВВС. Работает почти в 30 странах.
HackenProof
Украинская платформа баг-баунти, входит в группу компаний Hacken, специализирующихся на кибербезопасности. HackenProof является одним из инициаторов поиска уязвимостей в украинских государственных сервисах с целью улучшения их безопасности, а после начала полномасштабного вторжения объявила кибервойну России.
Компания основана в 2017 году, но уже сотрудничает с мощными игроками на рынке IT и уверенно конкурирует с ветеранами своей отрасли.
***
Это краткий экскурс в мир белого хакинга и наград за найденные баги. Существует много платформ и программ баг-баунти, благодаря которым можно сделать поиск уязвимостей своей основной специальностью и извлечь из этого неплохую прибыль.
Читайте также: «Обзор зарубежных бирж фриланса: Upwork, Freelancer, Fiverr»
Понравилась статья? Расскажите о ней друзьям: 
