Synack Red Team の話 - 空地

Synack Red Team の話

2022年後半ごろに Synack Red Team(SRT)に入り、モチベが出た時にバグバウンティをしています。
日本人メンバーが少なくあまり情報もないので、ある程度報告を行ったリサーチャー目線でプラットフォームの特徴や選考プロセスについて共有します。ブログ公開については Synack の許諾済みです。

Synack Red Teamに入るまで

他のバグバウンティプラットフォームとSynackの大きな違いは、やはりメンバーになる前に選考プロセスがある、ということだと思います。
この選考プロセスが結構長くて、自分の場合は全部合わせて2,3カ月くらいかかりました。

  • 履歴書
    他プラットフォームでのバグバウンティの実績や CVE 取得経験などを書くと良いと思います。
  • 技術面接
    Hack The Box 上で Synack のために用意された CTF を解いていきます。「WEB」や「HOST」といった問題セットがあり、メンバーになるためにはいずれかのセットを全て正解する必要があります。
    「WEB」を全問正解すると WEB ターゲット、「HOST」を全問正解するとHOSTターゲットへのバグバウンティ参加が認められるようになります。
  • ビデオ面接
    英語でビデオ面接とか無理!って思う方がいるかもしれません。自分も英語自信ないのでこれがハードルで応募するか迷ってました。
    でも大丈夫、読み書きができるなら問題ないようになっています。
  • 経歴チェック
    就活でも経験したことがないものだったので結構構えちゃいましたが、悪いことしたことがなく、嘘をついていなければ大丈夫だと思います。このプロセスが一番時間かかりました。

現在は持っている資格に応じて、履歴書や技術面接をbypassできます。
例えばOSCPなら履歴書のみ、OSWE なら WEB の技術テスト、OSCE3 なら履歴書と技術テストをbypassできます。他の資格などの詳細はこちらから確認できます。個人的に資格とバグバウンティは結びつかないと思うので、ここらへんは実績を基準に変えてほしいなとは思ってます。

自分が申し込みした際は技術テストのbypass制度がありませんでしたが、Synack Acropolis の方に DM を送ってリファラルしてもらい、選考待ち時間を減らしてもらうことで比較的スムーズに進みました。

Synack の特徴

Synack の特徴について書いていきます。他のプラットフォームと比較して一長一短だなと感じます。

トリアージと報奨金支払いの素早さ

脆弱性報告してから一週間以内にはトリアージ、報奨金の支払いまでされることが多いです。他のプラットフォームでは早くても一週間以上かかることがほとんどだったり、Critical な報告でも半年以上待たされることもありました。
これが遅いとアップデートが気になってしまったり、モチベ下がったりしちゃうんですよね。これが早いと収入の予想がつきやすいので結構嬉しいです。

専用の診断環境

Synack ではリサーチャーごとに診断用マシンが割り当てられます。このマシンにRDP接続して、その環境からしかテストできないターゲットがほとんどです。
もちろん自宅の環境よりもスペックは低いし回線も遅めですが、イライラするほどではないです。Level(あとで解説)が上がると少し良いマシンが割り当てられるようになります。

企業側がSynackからのリクエストを判別できる、というメリットしかないように感じますが、リサーチャーにとってもメリットがあります。他のプラットフォームではターゲットに対して年中独自のスキャンを回しまくってるような人たちがいますが、そのような調査方法はSynackでは行いにくく、少しだけ競争が緩やかになるように感じます。 また自分のPCからリクエストを送る必要がないので、何か自動化して待ってる間にPCで他のことができるのは嬉しいです。

脆弱性の統計機能

他のリサーチャーがどんな脆弱性報告してるのかって気になりますよね。
そういった情報をある程度確認することができる機能がSynackにはあります。
レポートや具体的なペイロードまでは見ることができませんが、「いつ」「どのパスに」「どの種類の脆弱性」が報告されたか知ることができます。
duplicate が発生しにくい上、自分が見つけられなかった脆弱性がどういうものだったのか調べることもできるので嬉しい機能です。

脆弱性インパクトを重視

他のプラットフォームも同様かと思いますが、脆弱性診断でLowで報告されるような脆弱性Rejectされることがほとんどです。 Vulnerable(=脆弱性がある)であることを報告するだけではダメで、Exploitable(=悪用可能)であることを報告しなければなりません。

プログラムの種類

プログラムは「WEB」「HOST」のいずれかである場合がほとんどです。技術面接で正答できたプログラムへの参加が認められますが、技術面接でWEBしか解けなかった場合でも、チームに入ってからHOSTの再試験を受けることもできます。

  • WEB
    通常のバグバウンティと変わらない、と捉えてOKかと思います。
    他のプラットフォームではターゲットごとに禁止事項等のルールが結構バラバラなイメージがありますが、Synack はルールが共通になっていることが多い印象です。
  • HOST
    こちらは他のプラットフォームから入った人は少し困惑するように思います。
    WEB との主な違いとしては、受け付ける脆弱性の違いです。HOST は Reflected XSSCSRF すら受け付けられず、侵入に繋がるような脆弱性やサーバサイドの脆弱性しか認められません。
    WEB に比べてスコープが広い傾向にあります。また、内部ネットワークのマシンがターゲットになることもあります。

WEB や HOST、内部/外部といった場合に応じて、観点を変えたりツールを調整して調査するのも面白いポイントです。

mission という制度

通常のプログラムとは別に、mission と呼ばれる制度が存在します。
例えば「この機能でこの脆弱性がないか確認して」といったタスクをこなすことで報奨金が貰える仕組みです。
脆弱性調査の手順をレポートに書き、脆弱性が見つかっても見つからなくても報奨金が貰えます。もちろん見つかった場合は報奨金が高くなります。

ただし mission はあまり見かけることがなく、脆弱性が見つかったとしても報奨金が少なめです。
基本的に mission が追加されたらすぐに誰かが持っていくので経験することはほとんどないです。自分も一度しか経験したことがありません。

修正確認への報奨金

値段はかなり少ないですが、企業側が脆弱性修正後、リサーチャーに対して修正確認を出すことがあります。
5分くらいの作業で$50貰えるので、あったら割と嬉しいです。bypass ができたら少しだけ増えます。

writeup が公開不可

頑張って見つけた面白い脆弱性は writeup を公開したくなると思います。他のプラットフォームにあるようなレポート公開機能がないどころか、外部からリサーチャーごとの報告実績も見ることができません。

ポイント制度

脆弱性報告に応じてポイントが貰えます。XSS を報告するとおおよそ100~150pt、RCE だと200~300ptのポイントが貰えます。
他のプラットフォームだと、獲得ポイントに応じてプライベートプログラムへの参加への招待に使われることが多いですが、そのような用途では用いられていません。

SRT は獲得ポイントに応じてLevel0x01~0x05に分類されます。Level が高いと先述した調査環境のマシンのスペックに影響する以外にも、状況に応じて報奨金が5~10%増えたりします。
また、この Level や「1年間で何pt以上」「ランキングで何位以上」といった基準をクリアした人が表彰される制度があります。
表彰されたリサーチャーはAcropolisに掲載され、これに選ばれて初めて外部公開できるプロフィールを作ることができます。

Recognition プログラム

獲得したポイントに応じて Synack から Swag が貰える制度です。
貰える Swag は靴や椅子など貰えたら割と嬉しいもので、獲得ポイントが高いほど良いものが貰えます。
1年間で10000ポイントは最低必要なのでハードルはかなり高いです。

なんやかんや競争激しめ

選考プロセスがあるため、リサーチャーが少ないです。
全世界で1500人ほどメンバーがいるみたいですが、HackerOne のユーザに比べると相当少ないと思います。 ルールにかなり癖があるため、これを好まずに活動していない層も結構いるように思います。正直他のプラットフォームに比べると調査は不自由になりがちです。

そんなこんなで比較的競争は緩やかですが、それでもかなり競争は激しいと感じます。 新しいプログラムに真っ先に招待されたとしても、上位リサーチャーが数日で結構な数の脆弱性を狩ってるイメージがあります。

報奨金に関するルールが詳細に決められている

他のプラットフォームでは、プログラムごとに報奨金が変動することが多いです。
Synack の場合は、脆弱性の種類ごとに報奨金を Synack が独自に定めています。設定金額は下限が高く、上限は低い印象です。

他のプラットフォームでは報奨金が低すぎて不快になることがありましたが、Synack ではそのような経験がないです。一方で上限も決まっているので、どれくらい高くなるのかワクワクする気持ちになることはないです。

他にも、root cause が同じ脆弱性の報奨金は低くなるようになっています。
例えば、「同じパス、同じパラメータで発火するXSS」が複数ドメインで見つかった場合、報奨金をフルで貰えるのが1つ目の報告のみで残りは10%の金額になります。
パス、ペイロード、パラメータ、ドメイン、etc. それぞれが【同じ/異なる】の組み合わせがかなり細かく設定されています。
報奨金の細かいルールによって、root cause が同じ脆弱性を横方向に大量に報告して報奨金を得る、といったバグバウンティに感じていた不健全な部分が排除されているのは良い点だと思います(企業側観点)。

また、このルールはリサーチャー間でも適応されるため、 脆弱性の統計機能をハイエナして脆弱性稼いじゃおう!といった試みができないようになっています。

VDP がない

VDP に参加したらポイントが貰える!みたいな制度がないです。ちゃんと脆弱性を見つけると報奨金が貰えます。
2024年に入ってから、VarPay と呼ばれるモデルが採用され、企業の報奨金プールが尽きそうになると報奨金が少なくなるようになりました。逆に報告が長期間されていないようなターゲットは通常の1.5~2倍の報奨金がベースになります。

まとめ

Synack Red Teamの特徴についてまとめてみました。
最近 Offsec 関連のコミュニティが盛り上がってるなーと感じるので、バグバウンティやる人も増えていくと嬉しいです。 Synack に申し込む前に他のプラットフォームで経験を積んだ方が良いと思います。 理由は色々とありますが、興味ある方がいればお答えします。 boards.greenhouse.io