Полювання на баги заради загального блага

Мабуть, саме незвичайне в конференціях з ІТ-безпеки - це те, що не всі доповіді на них присвячені виключно цій самій безпеці. Наприклад, на нашій недавній Security Analyst Summit серед іншого було порушено тему благодійності: Девід Якобі представив доповідь «Полювання на баги в ім'я людства».

Все почалося з тижневого проекту, в рамках якого Девід Якобі і Франс Розен з компанії Detectify шукали уразливості, а отримані кошти віддавали на благодійність. Спочатку дослідники поставили собі за мету - $ 11 тисяч. І хоча набрати потрібну суму за тиждень не вийшло, в процесі вони виявили дещо цікаве.

«Це було дійсно здорово: ми зв'язалися з компаніями, які в звичайних обставинах ніколи б не стали брати участь в програмах Bug Bounty , Так як у них відсутня відповідна стаття в бюджеті, - пояснив Якобі. - Але я звернувся до відділів маркетингу, і у них знайшлися гроші і бажання підтримати благодійну ініціативу ».

Так у Якобі, Розена і ще трьох фахівців з безпеки з'явилася ідея проводити 24-годинні тести на проникнення (пентести) на безоплатній основі. Замість оплати команда дослідників просила компанії пожертвувати гроші в будь-яку з благодійних організацій за вибором клієнта.

«Все, кому ми дзвонили, хотіли взяти участь в проекті. Це було чудово », - зазначив Розен.

Особливо зацікавився шведський інтернет-провайдер Bahnof. Якобі розповів, що тепер ця компанія жертвує гроші в обмін на пентести щомісяця.

«Це доводить, що людям такі ініціативи дійсно потрібні», - підвів підсумки Девід.

Нам в Kaspersky Daily проект Якобі настільки сподобався, що ми вирішили поговорити з дослідником і дізнатися про нього більше.

Kaspersky Daily: Як ви думаєте, чи стануть «білі хакери» охочіше брати участь в благодійних програмах пошуку багів?

Девід Якобі: Чесно кажучи, я не думаю, що наша ініціатива кардинально змінить ставлення людей до участі в програмах Bug Bounty. Однак мені здається, що в результаті можуть з'явитися нові шляхи для співпраці вендорів, благодійних організацій і компаній, що займаються кібербезпекою, що в кінцевому підсумку приверне більше людей.

На мій погляд, прагнення принести користь суспільству має бути невід'ємною частиною нашого життя. У нас тільки одне життя, чому б не скористатися шансом і не зробити щось хороше для оточуючих?

Kaspersky Daily: У доповіді ви згадали, що одна з компаній захотіла пожертвувати гроші на те, щоб відправляти дітей на конференції з кібербезпеки. Як ви думаєте, чи можуть такі програми зацікавити молодих людей, щоб вони захотіли стати фахівцями з кібербезпеки?

Девід Якобі: Взагалі, конференції з безпеки викликають у мене змішані почуття. На них ми розповідаємо про всякі цікаві штуки людям, які вже працюють в ІТ-індустрії. При цьому квитки коштують якихось страшних грошей. Навіщо нам вчити людей, які вже знають все про ІТ? Щоб все змінилося на краще, нам потрібно почати запрошувати на конференції, наприклад, студентів, які незабаром стануть нашими колегами.

Kaspersky Daily: Як ви думаєте, якщо компанії будуть частіше жертвувати гроші на благодійність за виявлення дрібних багів, фахівці з безпеки стануть більш охоче брати участь в таких ініціативах?

Девід Якобі: Я сподіваюся, що так і буде. Я хочу змінити світ, ну або хоча б спробувати. Я б хотів впровадити благодійні програми всюди, де зможу. Ось хороший приклад: в Швеції є спеціальні машини для прийому порожніх алюмінієвих банок. У цих машинах є дві кнопки: одна дозволяє отримати за банку готівку, а друга - пожертвувати належну суму на благодійність.

Якщо я хочу зробити пожертвування, у мене повинна бути можливість зробити це. Нам потрібні творчий підхід і нові ідеї, щоб домогтися більшого!

До речі про програми Bug Bounty: «Лабораторія Касперського» нещодавно розширила програму винагороди за виявлення багів , Яку ми проводимо на базі платформи HackerOne , - винагорода стало більше, і в програму тепер входить більше наших продуктів.