26 апреля 2017

Охота на баги: как изменить мир к лучшему

Безопасность Спецпроекты

Пожалуй, самое необычное в конференциях по ИТ-безопасности — это то, что не все доклады на них посвящены исключительно этой самой безопасности. Например, на нашей недавней Security Analyst Summit среди прочего была затронута тема благотворительности: Дэвид Якоби представил доклад «Охота на баги во имя человечества».

Охота на баги: как изменить мир к лучшему

Все началось с недельного проекта, в рамках которого Дэвид Якоби и Франс Розен из компании Detectify искали уязвимости, а полученные средства отдавали на благотворительность. Изначально исследователи поставили себе цель — $11 тысяч. И хотя набрать нужную сумму за неделю не получилось, в процессе они обнаружили кое-что интересное.

«Это было действительно здорово: мы связались с компаниями, которые в обычных обстоятельствах никогда бы не стали участвовать в программах Bug Bounty, так как у них отсутствует соответствующая статья в бюджете, — объяснил Якоби. — Но я обратился в отделы маркетинга, и у них нашлись деньги и желание поддержать благотворительную инициативу».

Так у Якоби, Розена и еще троих специалистов по безопасности появилась идея проводить 24-часовые тесты на проникновение (пентесты) на безвозмездной основе. Вместо оплаты команда исследователей просила компании пожертвовать деньги в любую из благотворительных организаций по выбору клиента.

«Все, кому мы звонили, хотели принять участие в проекте. Это было замечательно», — отметил Розен.

Особенно заинтересовался шведский интернет-провайдер Bahnof. Якоби рассказал, что теперь эта компания жертвует деньги в обмен на пентесты ежемесячно.

«Это доказывает, что людям такие инициативы действительно нужны», — подвел итоги Дэвид.

Нам в Kaspersky Daily проект Якоби настолько понравился, что мы решили поговорить с исследователем и узнать о нем больше.

Kaspersky Daily: Как вы думаете, станут ли «белые хакеры» охотнее принимать участие в благотворительных программах поиска багов?

Дэвид Якоби: Честно говоря, я не думаю, что наша инициатива кардинально изменит отношение людей к участию в программах Bug Bounty. Однако мне кажется, что в результате могут появиться новые пути для сотрудничества вендоров, благотворительных организаций и компаний, занимающихся кибербезопасностью, что в конечном итоге привлечет больше людей.

На мой взгляд, стремление принести пользу обществу должно быть неотъемлемой частью нашей жизни. У нас только одна жизнь, почему бы не воспользоваться шансом и не сделать что-то хорошее для окружающих?

Kaspersky Daily: В докладе вы упомянули, что одна из компаний захотела пожертвовать деньги на то, чтобы отправлять детей на конференции по кибербезопасности. Как вы думаете, могут ли такие программы заинтересовать молодых людей, чтобы они захотели стать специалистами по кибербезопасности?

Дэвид Якоби: Вообще, конференции по безопасности вызывают у меня смешанные чувства. На них мы рассказываем про всякие любопытные штуки людям, которые уже работают в ИТ-индустрии. При этом билеты стоят каких-то жутких денег. Зачем нам учить людей, которые уже знают все про ИТ? Чтобы все изменилось к лучшему, нам нужно начать приглашать на конференции, например, студентов, которые вскоре станут нашими коллегами.

Kaspersky Daily: Как вы думаете, если компании будут чаще жертвовать деньги на благотворительность за обнаружение мелких багов, специалисты по безопасности станут охотнее принимать участие в таких инициативах?

Дэвид Якоби: Я надеюсь, что так и будет. Я хочу изменить мир, ну или хотя бы попытаться. Я бы хотел внедрить благотворительные программы везде, где смогу. Вот хороший пример: в Швеции есть специальные машины для приема пустых алюминиевых банок. В этих машинах есть две кнопки: одна позволяет получить за банку наличные, а вторая — пожертвовать причитающуюся сумму на благотворительность.

Если я хочу сделать пожертвование, у меня должна быть возможность сделать это. Нам нужны творческий подход и новые идеи, чтобы добиться большего!

Кстати о программах Bug Bounty: «Лаборатория Касперского» недавно расширила программу вознаграждения за обнаружение багов, которую мы проводим на базе платформы HackerOne, — вознаграждение стало больше, и в программу теперь входит больше наших продуктов.