Охотничья лицензия на баги

Бизнес

С сегодняшнего дня мы с помощью платформы HackerOne запускаем программу Kaspersky Lab Bug Bounty, которая позволит внешним экспертам поискать баги в продуктах «Лаборатории Касперского» и получить награду за найденные уязвимости. Мы уже достаточно давно думали о подобном шаге и в 2015 году провели закрытую программу Bug Bounty. По ее результатам было решено сделать программу публичной и дать возможность всем внешним ресерчерам поучаствовать в ней.

Все создатели программного обеспечения стремятся создать идеальный продукт. Но написать по-настоящему идеальный софт пока еще никому не удавалось. При должном желании и умении в любой программе можно найти некоторое количество ошибок или недочетов. И главные вопросы — насколько эти недочеты серьезны и когда их найдут. Очевидно, что делать это следует до того, как они начнут причинять неудобство пользователям. И, самое главное, до того, как их смогут найти киберпреступники и использовать со злым умыслом.

В этом отношении наши программы нельзя считать исключением. Чтобы минимизировать риски нахождения уязвимостей в наших продуктах, в «Лаборатории Касперского» реализован многоуровневый подход к их тестированию, который является частью жизненного цикла безопасной разработки ПО. В данный момент, прежде чем какое-либо решение «Лаборатории Касперского» увидит свет, оно проходит как минимум внутренний аудит, анализ со стороны команды профессиональных тестировщиков из отдела обеспечения качества (QA), а также тесты на проникновение со стороны команды внутренних пентестеров. В отдельных случаях затем следует этап пилотных внедрений, и только потом продукт выходит на рынок. Но чтобы свести практически к нулю вероятность того, что какие-либо недочеты все-таки будут найдены и использованы со злыми намерениями, мы решили добавить еще один уровень надежности.

main

Мы считаем, что нам особенно важно выпускать решения, максимально тщательно проверенные на предмет наличия уязвимостей, так как одно фундаментальное отличие от прочего ПО у защитного софта все-таки есть. Если уязвимость будет обнаружена в какой-нибудь офисной или развлекательной программе, то, прежде чем киберпреступники смогут ею воспользоваться, им предварительно придется обходить защитные механизмы решений, обеспечивающих информационную безопасность. А механизмов, способных противодействовать вредоносным программам, немало (по крайней мере в наших продуктах). Само собой, для того, чтобы они могли справиться со своей задачей, нужно, чтобы сами эти механизмы были «безгрешными».

Тем более что у нас есть несомненное преимущество перед большинством других разработчиков программного обеспечения. Защитные решения постоянно обновляются. И я говорю не только об обновлении баз — в продуктах «Лаборатории Касперского» уже несколько лет работает метод мгновенной доставки обновлений до конечного пользователя. Это позволяет моментально установить обновленные модули на большинство продуктов и тем самым оперативно закрыть уязвимости, если они будут найдены. Благодаря этой системе (хотя на самом деле благодаря слаженной работе команды разработчиков, исследователей и этой системы) в прошлом году нам удалось закрыть несколько серьезных ошибок за 24 часа.

Наша программа Kaspersky Lab Bug Bounty официально запускается 2 августа этого года совместно с HackerOne — специализированной платформой для поиска уязвимостей. Продлится она до февраля 2017 года.

Более подробную информацию о нашей программе Bug Bounty, типах уязвимостей, на наличии которых следует сосредоточиться охотникам, и остальные условия участия можно найти вот на этой веб-странице. Надеемся, что взгляд со стороны позволит нам сделать наши продукты еще лучше и надежнее.