Astra Linux хорошо заплатит за свой успешный взлом. Это первая в России программа Bug Bounty для операционных систем
Компания «Астра» запустила программу по поиску уязвимостей в защите своей ОС. За их обнаружение «белые» хакеры получат до 250 тыс. руб. Позже компания масштабирует Bug Bounty и на другие свои продукты. Это первая в России программа по поиску уязвимости в ОС.
Bug Bounty «Астры»
В России впервые стартует программа по поиску уязвимостей в защищенности операционных систем (ОС). Bug Bounty запускает разработчик российской операционной системы Astra Linux компания «Астра». Об этом представители «Астры» рассказали CNews.
В зависимости от уровня критичности уязвимости размер выплаты может достигать 250 тыс. руб. «Критичные уязвимости будут рассматриваться в индивидуальном порядке», — отмечают в компании. По словам гендиректора компании Ильи Сивцева, «Астра» будет платить не просто за найденные ошибки, а именно за реализацию недопустимых событий.
Проверяться будет операционная система Astra Linux Special Edition. Это позволит разработчику выявить проблемы, которые могут привести к негативным последствиям в инфраструктуре заказчика ее ОС.
Bug Bounty — это программа, в ходе которой компания привлекает сторонних специалистов по безопасности для тестирования своего ПО на наличие уязвимостей с выплатой вознаграждения за их обнаружение.
Как получить вознаграждение
Оператором программы по поиску уязвимости в ОС Astra Linux станет ИБ-компания BI.ZONE. Она будет предоставлять «белым» хакерам доступ к программе, прием и обработку отчетов, а при подтверждении уязвимости проведет выплату вознаграждения.
«Астра» будет платить независимым исследователям за реализацию внутри системы недопустимых событий с авторским механизмом разграничения доступа, а также с функционирующей замкнутой программной средой. Исследователи будут искать уязвимости не в коде, а в механизмах защиты ОС.
«Астра» планирует распространить Bug Bounty и на другие подсистемы безопасности и продукты. В продуктовый портфель компании, помимо ОС, входят платформа виртуализации «Брест», корпоративная почта RuPost, решение для управления доменом ALD Pro (аналог Microsoft Active Directory, представленный в ноябре 2021 г.), инструменты резервного копирования RuBackup (компания «Рубэкап»), а также СУБД «Астра база данных тантор платформа» (разработка «Тантор лабс», контроль над которой «Астра» получила в октябре 2022 г.).
Bug Bounty от других компаний
«Астра» не первая в России ИТ-компания, которая запускает свою Bug Bounty. На платформе BI.ZONE доступны публичные программы, в том числе от VK, «Авито», Ozon, «Тинькофф», «Сбермаркета», «Сберавто» и другие.
Помимо ИТ-компаний, программу по поиску уязвимостей в феврале 2023 г. запустило Минцифры. Багхантерам за нахождение уязвимостей платили до 1 млн руб.
В октябре 2022 г. Positive Technologies рассказала, что российский бизнес готов платить багхантерам (специалистам по поиску уязвимостей; – прим. CNews) от нескольких десятков до сотен тысяч рублей, а в отдельных случаях выплаты достигают 1 млн руб. и более.
Из зарубежных компаний, например, Google выплачивает по $31,3 тыс. В Microsoft максимальное вознаграждение за обнаружение уязвимостей может достигнуть $250 тыс.
Напомним, «белые» или «этичные» хакеры — это кибервзломщики, использующие свое мастерство во благо. Они помогают разработчикам искать бреши в их продуктах, но отнюдь не на бесплатной основе. Символом этого движения является белая шляпа, откуда и пошло название «белых» хакеров.