HP платит до $10 000 за баги в принтерах, хакерам дают удалённый доступ
Пополнение в списке программ выплаты вознаграждений за найденные уязвимости (bug bounty). Теперь белые хакеры-исследователи могут претендовать на получение до $10 000, если найдут уязвимости в принтерах HP. Компания объявила о запуске программы 31 августа — и стала первым в мире производителем принтеров, который будет платить за баги.
Уязвимости в принтерах и других периферийных устройствах часто становятся мишенью для хакеров. Если домашний принтер для этой цели практически бесполезен, то в корпоративной среде такое устройство обычно подключено к локальной сети и может использоваться как точка входа, особенно если системные администраторы не следят за своевременным обновлением прошивок. Согласно отчёту 2018 State of Bug Bounty Report от Bugcrowd, за последние 12 месяцев (с 1 апреля 2017 г. по 31 марта 2018 г.) количество найденных багов выросло на 21% по сравнению с предыдущим годом.
Программа выплаты за уязвимости HP запущена на платформе Bugcrowd — одной из нескольких платформ, где хакеры могут выбирать мишени для атаки, зарабатывать себе рейтинг и получать вознаграждение, которое во много раз превышает зарплаты разработчиков, работающих по найму. Самое большое вознаграждение в истории Bugcrowd недавно выплатила компания Samsung — $114 000. Впрочем, на самой крупной в интернете хакерской площадке HackerOne платят ещё больше: даже некоторые небольшие фирмы там предлагают вознаграждения до $200 000 — столько же, сколько даёт Apple за эксплойты для iPhone, которые на чёрном рынке стоят до $1,5 млн. Поиск уязвимостей стал выгодным делом.
В комментарии ZDNet представитель HP сказал: «Мы бросаем вызов исследователям в поиске неизвестных дефектов, которые могут быть использованы против наших клиентов. Мы предоставляем исследователям удалённый доступ к набору корпоративных многофункциональных принтеров и приглашаем исследователей сосредоточиться на потенциальных вредоносных действиях на уровне встроенного программного обеспечения, включая CSRF, RCE и XSS».
Представитель HP добавил, что вознаграждения будут выплачиваться даже в том случае, если выявленная уязвимость уже была ранее обнаружена специалистами компании, но информации ещё нет в открытом доступе. Исследователям предлагают сосредоточиться на уязвимостях в прошивках принтеров (firmware).
Директор HP по безопасности печати Шиваун Олбрайт (Shivaun Albright) сказал: «В течение многих лет обсуждение кибербезопасности было сосредоточено на программном обеспечении и сетях. Сегодня злоумышленники также ориентируются на оконечные устройства. Первостепенной задачей стала подключенных устройств, таких как принтеры, которые находятся на границе сети».
HP запускает программу в «приватном» режиме (private program). Большинство компаний на платформе Bugcrowd предпочитают работать именно в таком порядке, когда хакеров просят не ломать общедоступные сервисы и устройства, а работать в контролируемом окружении. В частности, за последний год 79% всех новых программ были приватными.
Вообще, сообщество белых хакеров-исследователей, которые ищут баги и зарабатывают этим, постоянно растёт. На Bugcrowd за прошлый год сообщество выросло на 71% и теперь представляет хакеров из 113 стран. Российские хакеры входят в число лидеров по количеству найденных багов.
Всего зарегистрировано более 87 700 исследователей, из них почти 4000 подтвердили свою личность, а около 7000 сообщили как минимум об одной уникальной уязвимости. В основном аудитория этих сайтов — молодёжь, на том же Bugcrowd около 71% пользователей в возрасте 18−29 лет.
Средняя выплата за найденную уязвимость составляет $781, а первое место по количеству выплат занимают уязвимости типа Cross-Site Scripting (XSS) Stored. В то же время по количеству отчётов первое место у уязвимостей Cross-Site Scripting (XSS) Reflected, но они относятся к третьему классу опасности (P3), а по таким багам оплата не всегда предусмотрена. Но хакер может занести её в свой актив, указать в профиле и повысить репутацию/рейтинг, что тоже интересно.
Общая сумма выплат на Bugcrowd за последний год превысила $6 млн. Более 81% этих денег выплачено за взлом сайтов. С большим отрывом следуют баги в аппаратном обеспечении, гаджетах (6,7%), API (5,8%), Android (3,1%), устройствах интернета вещей (2,5%) и iOS (0,7%).