俄乌战争导致俄罗斯漏洞赏金计划蓬勃发展

俄乌战争爆发以及随后对俄罗斯和白俄罗斯实施的国际制裁对俄罗斯的网络安全生态系统产生了严重影响。

西方IT公司的撤离、俄罗斯IT专家的外流以及俄乌战争导致的网络威胁形势的变化，迫使俄罗斯出台国内解决方案，以改善其网络安全态势。这些进口替代努力现在包括漏洞研究计划，即所谓的漏洞赏金计划，个人发现并向开发人员报告软件和硬件漏洞即可获得奖励（赏金）。

2022年3月，国际社会对俄罗斯的制裁导致第三方平台和托管其内部漏洞赏金计划的公司停止向俄罗斯和白俄罗斯黑客支付赏金。

例如，2022年3月，全球最大的漏洞研究平台HackerOne拒绝向白俄罗斯黑客xnwup支付2.5万美元的漏洞赏金。同样，2022年初HackerOne上俄罗斯顶级漏洞赏金猎人安东·苏博京公开透露，他被拒绝支付5万美元，其中甚至包括他在俄乌战争前提交给HackerOne的漏洞报告。

HackerOne还从其平台上删除了俄罗斯公司，包括网络安全公司卡巴斯基实验室、在线市场Ozon和邮件提供商Mail.ru。美国和澳大利亚的漏洞赏金平台BugCrowd以及比利时的漏洞赏金平台Intigriti也因国际金融制裁删除了俄罗斯客户。

最近一次是在2024年6月，苹果的安全赏金计划拒绝向卡巴斯基实验室支付赏金，该公司在iOS中发现了四个零点击零日漏洞，这些漏洞被用来监视卡巴斯基员工和俄罗斯外交官的iPhone。虽然卡巴斯基没有被禁止向苹果提交进一步的报告，但它不再有资格从苹果获得任何漏洞赏金。

鉴于俄罗斯漏洞赏金猎人和漏洞研究人员在处理西方漏洞赏金计划时面临的不确定性，俄罗斯IT公司已开始填补这一空白。

漏洞赏金计划在俄罗斯有着相对较长的历史。俄罗斯互联网公司Yandex于2012年推出了第一个俄罗斯重大漏洞赏金计划，与此同时，美国也出现了第一个重大漏洞赏金计划。尽管Yandex做出了早期的努力，但漏洞赏金计划传统上并未被视为改善俄罗斯公司安全状况的既定机制。这部分是由于俄罗斯政府和商业公司普遍不信任黑客行为，也是因为西方平台占据了市场主导地位。

2021年2月，俄罗斯Cyber Polygon倡议（由俄罗斯战略数字风险管理公司BI.ZONE发起的一项举措）和Sinclit公司成立了“俄罗斯漏洞赏金”（Bug Bounty RU）平台。2022年5月，俄罗斯网络安全公司Positive Technologies推出了“对峙365漏洞赏金”（Standoff 365 Bug Bounty）。在两年内，Positive Technologies公司在“对峙365漏洞赏金”上托管了70个项目。BI.ZONE公司的“漏洞赏金”（Bug Bounty）平台于2022年8月紧随其后。截至目前，这三个漏洞赏金平台是俄罗斯最大的漏洞赏金平台。

2023年，这些平台上的漏洞猎人总数达到20000人。参与这些平台的公司数量不断增加，表明俄罗斯公司对更好地保护其产品的兴趣日益浓厚。如今，来自银行、零售和IT行业的俄罗斯主要公司，如T-Bank、Ozon和社交媒体平台VK，都在该平台上提供其程序——包括不再与HackerOne合作的公司。Positive Technologies本身在Standoff 365 Bug Bounty上提供的赏金最高，高达6000万卢布（680000美元）。漏洞赏金支付结构与HackerOne和其他西方平台相当。

Standoff 365和BI.ZONE努力吸引来自亚洲、非洲和中东的漏洞赏金猎人加入其平台。这一策略旨在在其他地区漏洞赏金市场站稳脚跟，并吸引外国公司加入其平台。

俄罗斯政府也在利用国内漏洞赏金生态系统的出现和建立。

少数俄罗斯政府机构已与“对峙365漏洞赏金”和 “BI.ZONE漏洞赏金”展开合作，这表明对漏洞赏金计划和俄罗斯黑客社区的看法发生了变化，直到最近它们还被视为安全威胁，而不是增强安全的手段。

2023年2月，俄罗斯联邦数字发展、通信和大众传媒部将其10个电子政务系统（包括俄罗斯联邦国家服务门户网站 Gosuslugi）纳入“对峙365漏洞赏金”和“BI.ZONE漏洞赏金”平台。发现严重漏洞的最高奖励为100万卢布（11000美元）。据该部称，已有16000多人报名参加俄罗斯政府的漏洞赏金计划，迄今为止已发现100多个漏洞。

这些俄罗斯联邦努力也逐渐渗透到地方政府。2023年12月，莫斯科州市政服务部门（uslugi.mosreg.ru）在Standoff 365 上启动了自己的漏洞赏金计划，罗斯托夫州也于同月推出了地理信息系统（RO GIS），萨哈共和国也于2024年5月开放了其电子服务以寻找漏洞。与私营公司推出的计划不同，隶属于俄罗斯政府机构的计划仅对俄罗斯联邦公民开放。

这些发展是在该领域的法律模糊性中发生的，因为俄罗斯刑法没有区分犯罪黑客和道德黑客（漏洞研究）。

在俄罗斯，道德黑客行为仍被视为非法，最高可判处七年监禁。根据《俄罗斯刑法》第272条和第273条，非法访问计算机属于犯罪行为。自俄乌战争以来，俄罗斯的网络威胁形势显著恶化，改善俄罗斯网络安全的新举措现已列入政治议程。早在2022年夏天，俄罗斯联邦数字发展、通信和大众传媒部就提出了支持漏洞赏金计划的想法。但一项将道德黑客行为合法化的法案直到2023年12月才提交给俄罗斯国家杜马。

俄罗斯信息安全领域的主要监管机构俄罗斯联邦安全局（FSB）和联邦技术和出口管制局（FSTEC）正在使立法程序复杂化，担心这可能会妨碍打击网络犯罪。截至2024年5月，该法案已获得俄罗斯国家杜马的批准，但仍有待修改。如果获得通过，这些努力将与俄罗斯政府加强网络安全的更广泛举措保持一致，包括强制事件报告、增加数据泄露罚款、禁止在与国家安全相关的关键基础设施中使用西方软件，以及可能 建立类似于美国网络安全和基础设施安全局（CISA）的网络安全机构。

俄罗斯漏洞赏金平台在未来几年内很有可能实现大幅增长。它们不仅为俄罗斯黑客提供了可靠的西方替代方案，也为所有其他位于未来可能面临国际金融制裁的国家的漏洞研究人员提供了可靠的西方替代方案。

从西方的角度来看，一个潜在的问题可能是俄罗斯黑客决定将西方产品中发现的漏洞出售给俄罗斯零日漏洞收购公司，例如Operation Zero。因此，他们不是免费向西方漏洞赏金平台报告漏洞，而是将其出售给出价最高者。

这些零日漏洞获取公司又将漏洞卖给俄罗斯执法和安全机构，这可能导致西方国家间谍活动增多。西方政策制定者需要密切关注俄罗斯漏洞赏金生态系统的发展。