イヴァン・グリゴロフ：「トップレベルのバグハンターにとって、月額25Kドルは問題ではありません」

脆弱性プログラムは、常にハッカーやセキュリティの専門家から多くの注目を集めています。 結局のところ、これはバグを検索することによってのみ良いお金を稼ぐための合法的な方法です（ただし、良い経験と彼の肩に頭があれば）。 先日、バグハンターのIvanの原子炉 08 Grigorovにインタビューする機会がありました。 彼はBug Bountyプログラムのリーダーであり、HackerOneプラットフォームの総合ランキングで11位になります。



バグを探し始めるには？ これが唯一の収入源でしょうか？ どのバグバウンティに参加しますか？ バグハンターはいくら稼いでいますか？ そして、なぜ危機において脆弱性検索が特に有益なのですか？ インタビューでこれらの質問やその他の質問に対する答えを読んでください。



どのようにしてバグを探し始めましたか？



2、3年前にBug Bountyのような現象について学びましたが、Mail.Ru Groupプログラムの開始前に個人的には遭遇しませんでした。 それが始まったとき、私は試してみる価値があると判断しました。 当時、私はこの職業について非常に懐疑的であり、誰かが少なくとも1ドル支払うことを望んでいませんでした。



いくつかのバグを見つけて、それに対する最初の報酬を得ることができ、すぐにプログラムで2位になりました。 それは私がこの問題を真剣に取る価値があると思ったときです。



そして、わずか1年半で、あなたは私たちのプログラムで最も成功した研究者となり、HackerOneではトップ20に入りました。 どう？



ただ学ぶこと、そしてすべてのもの。



そして、どのように勉強しますか？



ほとんどの場合、特定の脆弱性を説明する記事またはプレゼンテーションを読みます。 このトピックに関する本やリソースを勉強しています。 私はビデオレポート、mitaps、会議を見ます。 私は他の人の報告書を勉強します。 検索エンジンで情報を探しています。 私は大学の学位を取得していますが、ITとは関係ありません。



どのような種類の脆弱性に対処しますか？



ほとんどがウェブで、残りは楽しみのためだけです。 しかし、これはすべて動機の問題です。 このような目標を自分で設定した場合、ブラウザを中断することもできます。



正規の仕事はありますか？



永続的な仕事はありません。脆弱性の検索が私の主な収入源です。



あなたは一人で働いていますか、それともチームとして働いていますか？ チームまたはシングルのどちらのスキームがより一般的ですか？



私は一人で働きます。 多くの場合、バグハンターは単独で働きますが、チームも時々発生します。



あなたの典型的な一日はどのようなものですか？ バグを探すのにどれくらいの時間を費やしますか？



それはすべて、新しいプロジェクトへの招待があるかどうかに依存します。 おもしろい招待状が次々に来たり、大きなスコープを持つ大規模なプロジェクトに出くわした場合、脆弱性を求めて朝から晩までフリーズして、時間がどのように進むかに気付かないことがあります。 しかし、これはめったに起こりません。通常、私はこれに1日約3-5時間を費やします。



Bug Bountyからの収入のみで生活できますか？



間違いなく可能ですが、すべてはこの分野の知識、検索に費やした時間、新しい興味深いプロジェクトへの招待、そして本当にクールなバグを見つけたいという欲求に依存します。 結局のところ、1つの脆弱性で1万ドルを稼ぐことができます。たとえば、100ドルで100回クリックジャックするなどの登録を行うことができます。 ちなみに、ほとんどの企業はバグの代金をドルで支払うため、危機におけるバグハンティングの関連性は大幅に高まっています。



バグハンターは平均でいくら稼げますか？



収入には非常に大きなばらつきがあることを理解する必要があります。 それは多くの要因、主に研究者の経験と、彼がハッキングにどれだけ時間を割いているかに依存します。 多くの人がバグバウンティプログラムに時々参加しますが、お金のためではなく、履歴書を強化したいという興味や欲求からです。 収入が少ない可能性が高いことは明らかです（特に、1回限りの利益ではなく、6か月または1年などの一定期間の利益を得る場合）。



一方、これを真剣かつ定期的に行うバグハンターがいます。 月に約1万ドルを稼ぐ友人がいます。 それぞれ50ドルを稼ぐ人がいます（たとえば、そのようなバグハンターの個人的な体験についての物語： My $ 50k Personal Challenge-Results ）。 毎月ではなく、定期的に達成可能です。 一部のトップハンターによると、彼らにとっては月に2万5千ドルは問題ではありません。



ちなみに、どのようにしてトップに到達しますか？



このためには、多くの深刻なバグを送信する必要があります。 評価は、収益のレベルではなく、見つかった脆弱性の総合的な重要度に基づいて構築されます。 これは部分的に収益にも影響しますが、バグが悪化すればするほど、彼らは通常、それに対する支払いをいとわなくなります。 HackerOneでは、危険な脆弱性の評価は約50ポイント、平均-25、最低-15です。各研究者のプロファイルでは、算術平均評価を確認できます。これは影響値です。



使用するツールはどの程度自動化されていますか？



よく知られているBurp Suiteとsqlmapを使用します。 手と頭だけでなく:)。



どのようなバグバウンティプログラムに参加していますか？



有料と無料の両方で、すべてのプログラムに参加しようとします。 もちろん、私のために支払われることは優先事項ですが、それにもかかわらず、私は無料のプログラムに注意を払います。 たとえば、私は報奨がないMail.Ru Groupプロジェクトに関する脆弱性レポートを送信しました。



参加するプログラムをどのように選択しますか？



それはすべて現在の状況に依存します。 新しいプライベートプログラムに招待された場合、その選択は明らかです。原則として、そのようなプロジェクトのセキュリティにははるかに多くの「穴」があり、それらはより迅速かつ簡単に検出されます。



そして、長い間招待されていない場合、他の研究者がバグを見逃す可能性が高い大規模プロジェクトを好むでしょう。 または、よく知られているプロジェクトに戻って、いくつかのことを再発見することもできます。



プライベートプログラムとは何かを読者に説明します。



Private Bug Bountyは、公に発表されていないプログラムであり、同社はバグハンターの限られたサークルのみを招待します。 これにより、最も経験豊富で適切なテスターを選択して、テスターの数を調整できます。 プロジェクトの脆弱性がまだ検索されていない場合は、プライベートバージョンから開始し、特定の信頼できる人を招待することをお勧めします。 そして、主要なバグが見つかったら、全員を脆弱性検索に招待できます。



彼らはどのようにしてプライベートプログラムに参加しますか？



私の知る限り、HackerOneはランダムに招待されています。 もちろん、最初に公開プログラムで何らかの評価をする必要があり、それから招待を開始します。 完全に新しい場合は、プライベートプログラムへの招待を受ける機会はありません。



HackerOneがサイトとして魅力的なのはなぜですか？ 彼には選択肢がありますか？



現時点では、 HackerOneとBugcrowdのプログラムに参加しています。 これら2つのサイトを比較すると、HackerOneは私にとってより魅力的です。



まず、レポートシステム自体がはるかに便利です。レポートを美しく作成し、他の研究者が利用できるようにすることができます。 レポートの各コメントに異なるファイルを添付できます。 しかし、Bugcrowdでは、レポートを送信する形式がわかりにくいため、デザインすることはあまりありません。レポートにはファイルを添付できますが、コメントには添付できません。



第二に、より多くの大企業がHackerOneと協力しています。 しかし一方で、私はしばしばHackerOneからではなくBugcrowdからプライベートプログラムへの招待状を受け取ります。 Bugcrowdには、アクティブな研究者向けの報酬システムもあり、非常に優れています。



両方のサイトでのサポートサービスは良好であり、ご質問に喜んでお答えします。 支払いは両方のサイトで問題なく行われます。 これらのリソースはどちらも研究者にとって有益であり、注目に値します。



HackerOneの公開開示機能を使用していますか？



はい、しかしめったにありません。 私は隠しませんが、他の人のオープンなレポートを喜んで読みます。



物議を醸す問題はありますか？



たまに。 たとえば、同じタイプの複数のバグが1つとしてカウントされ、1つだけの支払いが行われた場合、残りのレポートを閉じて、1つの修正でいくつかの脆弱性が修正されたと主張します。 あなたはそれを確認することはできませんが、一言とらなければなりません。 報告後しばらくしてからセキュリティチームがバグの再現を試みますが、バグは既に開発者によって修正されている場合があります。 そのような場合、レポートにビデオが添付されていなければ、何かを証明するのは問題です。



数ヶ月前、バグのある機能が単純に消えてしまうケースがありました。 当然、セキュリティチームはバグを再現できず、レポートを閉じました。 そして、ほんの数日前に、この機能が復活したことに気づいたので、セキュリティチームからの確認を再び待っています。



あなたが報告したバグに対して企業が支払いをしなかったことがありましたか？



重大な脆弱性を送信したいくつかのケースがありましたが、それらはプログラムの対象外のプロジェクトに関連していました。 彼らは修正され、「ありがとう」と言われました。 しかし、バグが範囲外であることは事前に明らかだったため、誰かを非難する意味はありません。



報酬を支払わないプログラムについてどう思いますか？



プログラムを開始した会社によって異なります。 これが何らかのスタートアップ企業や非営利組織である場合、私は彼らに時間を与え、何か価値のあるものを見つけようとします。

これが莫大な収入のある会社であれば、少なくとも奇妙なことに、彼らは報酬を提供していないように思えます。



ただし、他のユーザーと同様に、データを安全に保ち、サイバー犯罪者に傍受される危険がないようにしてください。 したがって、私は何らかの理由で報酬を支払うことができないサービスのユーザーを保護しようとします。 もちろん、可能な限り多くの脆弱性を見つけるために、製品にあまり触れません。 しかし、個人的には、あまり時間を必要としない簡単なバグをいくつか見つけて送信します。



多くのトップ研究者はそのような利他主義者ではなく、フリーソフトウェアを扱うことはまずありません。 一部は正しい。 しかし、最終的にはユーザーについて考え、ユーザーの利益を保護するために少なくとも少し貢献する必要があると思います。



あなたの練習の中で最も興味深いバグについて教えてください。



興味深いバグがいくつかありますが、おそらくHackerOneで最後に開かれた、約3万のWebサイト（主に企業）の脆弱性を引き起こしたhackerone.com/reports/111440についてお話します。



Zendeskのバグを探すことにしました。 このプログラムは長い間開始され、メインページwww.zendesk.comの内容を注意深く調べて、詳細を分析しました。 当時私には知られていないfast.wistia.comソースのビデオに興味がありました。



また、ページにはfast.wistia.comを使用したサードパーティのスクリプトがあり、ビデオを制御し、DOMを操作し、ビデオに関するデータをロードしました。 このスクリプトの効果を慎重に検討した結果、fast.wistia.comからJSファイルを追加でロードして実行できることに気付きました。 この場合、実行可能ファイルのパス、名前、拡張子を完全に変更できます。 そして、悪意のあるファイルをダウンロードして実行することができたら、Zendeskの側で任意のスクリプトを実行できます。 そして、私はそのような機会を探し始めました。



多くの時間を費やして、私は特にfast.wistia.comにファイルをアップロードできないことに気付きました。 次に、fast.wistia.comへのリクエストに注目し、サーバーからの応答を操作できるJSONPリクエストに気付きました。 このバグを最初のバグと組み合わせることで、JSONP応答を悪意のあるJSスクリプトとして提示することができました。 そして、私がそれをやったとき、この問題はZendeskだけでなく、Shopifyでホストされている膨大な数の店舗、膨大な数のWordPressとTumblrのブログ、多くの企業ウェブサイト、独自の10社ほどに影響を及ぼしていることに気付き始めましたBug Bountyプログラム、およびWistia自体。 WebサイトにWistiaからビデオを投稿したほぼ全員が、この脆弱なスクリプトを追加しました。



私が最初に言ったのは、Wistiaの支援でした。 1日待った後、私は別の手紙を書き、約1時間後に情報が開発者に送信されたことを確認しました。 さらに2日が経過しましたが、バグはまだ修正されていません。 もちろん、他の企業の評判も攻撃を受けているため、2日は短い時間ですが、そのようなバグではありません。



バグに誰も関与しないことが明らかになり（後で私が正しいと判明した）、Wistiaに連絡することを期待して他の企業に報告し始めました。 レポートをZendeskに送信しましたが、彼らは何も助けられず、Wistiaがこの問題を解決するまで待つと言いました...ショック、そして...そして、Shopify、Trello、Automattic（WordPress）にレポートを送信しました。 これらの企業のチームは、Wistiaを待たずに、独自のチャネルを通じてWistiaに連絡するなど、問題を独自に解決し始めました。 そして、見よ、彼らがWistiaに連絡してからちょうど1時間後に、バグが修正されました。



最も興味深い脆弱性は、必ずしも最も高価ですか？



いや おそらく、各研究者はそのようなバグを受け取ったが、予想よりも少ないか、まったく受け取っていないかもしれないが、他の研究者はそれらを高く評価した。 BlackFanが所有するそのような例の1つは、 hackerone.com / reports / 14883です。



脆弱性検索プログラムは、本当にクールなバグを見つけるのに役立たないという意見があります。 彼に同意しますか？



この意見は、不適切なレポートを送信して無料でお金を稼ぎたいという多くの人々のおかげで形成されたと思います。 インド人はこれで特に有名です（彼らの中には非常に有能な人がいますが）。 そして、このようなジャンクレポートが多数あるという背景から、チームはBug Bountyの有効性について考え始めます。 多くの場合、本当に価値のあるデータを待たずに、または単に膨大な数のレポートにownれずに、プログラムは閉じられます。



バグやお金の利益-あなたに最初に来るものは何ですか？ あなたは間違いなく何らかの収入をもたらす故意に退屈なバグで忙しくなりますか？



私は興味深いバグだけに焦点を合わせていません。 しかし同時に、私は利益を追求することについて何も報告しません。 私は、クリックジャックや、これより下の重大度に関してはほとんど語りません。 第一に、私は確かに重複にぶつかり、単に時間を無駄にするからです。第二に、すべての企業がそのような報告を受け入れるわけではありません。



初心者のバグハンターにどんなアドバイスをしますか？



まず、脆弱性をすばやく見つける確率は、プログラムが動作している時間に反比例することを理解する必要があります。 最良の戦略は、1つのプログラムに長くかかりすぎず、別のプログラムに参加することです。



それにもかかわらず、私はかなり長い間報告を受けていて、脆弱性を検出する可能性が非常に低いバグバウンティに参加するとき、私は可能な限り製品を知り、他の人が行うのに時間がかかっていない可能性が最も高い機能を見つけようとします。 または、理解しにくいものを探していますが、これは他の研究者には見落とされがちです。 私はどんな小さなことも見失わないようにします。 これには時間がかかり、忍耐と忍耐が必要です。



バグの処理方法の学習を開始できます。CSRF、XSS、SQLiなどの単純な脆弱性から始めて、典型的な各セキュリティエラーを個別に確認します。 それぞれについて資料を収集します。 YouTubeで検索を開始するだけで十分であり、便利なものがたくさんあります。



多くの優れた記事がHabréに掲載されており、興味深い本への参照を見つけることができます。 例：

• 情報セキュリティとプログラミングに関する2014年の必読の本
• 情報セキュリティに関する書籍。 IBに近づく
• サイバーセキュリティに関する書籍：専門家からの5つ以上の推奨事項

他の人の公開されたレポートを読むことも有用です。 しかし、トレーニングが停止してはならないことを忘れないでください。 テクノロジーは変化し、何かが時代遅れになり、新しいものが古いものに取って代わり、私たちはこれに従う必要があります。



一般的に、Bug Bountyエリアのトレンドはどうなっていると思いますか？ 2016年には何が待っていますか？



数年前、Bug Bountyは珍しいものでしたが、今ではそのようなプログラムを開くことはトレンドであり、HackerOneなどのサイトに来る企業が増えると予想できます。 プライベートプログラムはますます需要が増えるでしょう。 Bugcrowdには、プライベートプログラム用の新しい形式があります。予算と賞金が限られているフレックスプログラムです。 企業はそれらを気に入っており、徐々に人気が出るように思えます。