Багбанути площадка не покупатель багов, а некий мост между компаниями и IT-сообществом. В совокупности получается более выгодный и эффективный механизм по обеспечению высокого уровня безопасности информационных систем и ресурсов. Багхантеры получают деньги и славу, компании - безопасность.
Людям, которые "сдают" баги в даркнет по большей части все равно есть там багбаунти или нет, они выбрали свой путь. Многие отлично стреляют в тире, но лишь единицы идут в наемные убийцы, если брать Вашу аналогию.
Багхантер, выбирающий ту или иную программу оценивает ее по своим критериям. Большинство багхантеров довольны существующими выплатами и программами.
Что безопасность - это дешево (зачем платить пентестеру 10X за негарантированный результат, когда можно заплатить за подтвержденный баг Х или сколько захочешь)
пентест != багбаунти
Что люди должны приносить уязвимости в Bug Bounty, когда их нашли, и отдавать за те деньги, которые указаны в программе
что мешает бездомным купит себе дома и перестать таковыми быть?
Bug Bounty - хороший инструмент при правильном применении. Безопасность - это дорого, и убеждая кого-то, что можно сделать ее более дешевой, можно случайно создать ситуацию, когда за кучу красивых футболок будет собрана информация о некритичных проблемах, а в то же время критичные уязвимости продаются за существенные деньги, но уже даже не компании.
По своему опыту могу сказать что в даркнете ее еще надо найти кому продать, а багбаунти легальный и легитимный способ "обналичить" баги и спать спокойно.
Это не киберполигон, это стенд и среда мониторинга к нему. Киберполигон это как минимум связная архитектура, а не одинокий сервер/сервис. В качестве готового примера - вот https://github.com/Orange-Cyberdefense/GOAD. В качестве средств аналитики/мониторинга попробуйте либо HELK (немного устаревший), либо комбайн на базе Kali Purple.
Много комментариев про благотворительность - подтверждаю, Тиньков Банк, в рамках своей bug bounty программы, по просьбе багхантера на площадке bugbounty.ru , перечислил денежные средства в благотворительный фонд: https://t.me/bugbountyru_chat/1832
Круто осознавать, что наша платформа не только помогает компаниям находить уязвимости, но и становится проводником добрых дел. Не так давно один из исследователей bugbounty.ru помог Тинькофф выявить уязвимость в их сервисе, что позволило оперативно её закрыть и повысить безопасность обслуживания клиентов. В качестве поощрения Тинькофф по своей программе bug bounty выделяет бонусы багхантерам, при этом получатель при желании может отказаться от своего вознаграждения в пользу благотворительности. В таком случае Тинькофф увеличивает сумму в 5 раз и отправляет ее в один из проверенных фондов, который исследователь может выбрать на сайте Тинькофф в разделе «Благотворительность». Так и поступил один из багхантеров проекта, пожертвовав свой бонус, который был увеличен до 675 тыс. рублей, в один из благотворительных фондов.
Для того чтобы пришли к багхантеру нужны веские доказательства, иначе будет как в анекдоте - "тогда и за изнасилование сажайте, инструмент-то есть". Тут вопрос стоит уже давно о введении в правовое поле понятия багхантер, но воз и ныне там.
Использование специальных хидеров и даже VPN не гарантирует что багхантер не расскажет о логике уязвимости. А вопрос приватности багхантера (раскрытие его данных для правоохранительных органов) сейчас лежит на стороне площадки, только на площадке могут знать/увязать реальные данные багхантера (и то, если он не оформляет выплаты на третье лицо, что никак не подтвердить) так что проблема скорее надуманная, реальные кейсы мне не встречались, что все равно не отменяет необходимости легализации багхантинга.
Не всегда. На площадках размещения программ, например bugbounty.ru, где и собираются багхантеры, каждая программа анонсируется и видна исследователям, внешний маркетинг и реклама это дополнительные внешние факторы.
Я указал это в статье - "вымогательство вознаграждений".
Провести внутреннее тестирование. Провести тестирование автоматизированными средствами. Провести пентест. Запустить приватную программу (ограничение по участникам, либо депозитную систему (нанимаете пул хантеров за фиксированную цену - они приносят все что находят)). Запускаете публичную программу.
У меня чувство deja vu: https://habr.com/ru/post/336596/. Такое ощущение что был потерян пласт знаний и сейчас потомки по крупицам воссоздают информацию о netcat, aircrack-ng и прочем.
09.05.21 сдал багу, 04.11.21 они ее закрыли после длительной переписки с абсолютно непонимающим саппортом. В HoF добавили, про вознаграждение я даже не стал им писать.
На нашей прошлой платформе их было всего несколько сотен, это немного. Вероятно, просто их экспертиза исчерпала себя.
На какой платформе если не секрет? Для многих хантеров "старая" (а год это старая) программа = все вычистили до нас, а учитывая
Средний размер вознаграждения составлял примерно 423$.
это нецелесообразная трата времени и сил. Да и просто могло быть неинтересно.
Хостинг-платформа - довольно специфичный сервис, с регистрацией, верификацией данных и оплатой. Предоставляли ли вы исследователям полноценные аккаунты для тестирования?
Во-вторых, все наши сервисы, заявленные в программе, русскоязычные, а большая часть аудитории платформы — англоговорящие багхантеры. Скорее всего, им просто было сложно ориентироваться в наших сервисах и не так интересно.
Get on the list Leave your name and email address here and be amongst the first to receive an update when we need researchers to join us.
Хантеров на нашей новой платформе больше, и главное — они другие! А значит, новый опыт, новые инструменты, знания и новые уязвимости!
Я вам открою страшную тайну - скилловых хантеров ограниченное количество, как и методов и инструментария. Если они особо не ищут хантеров, а судя по регистрации это так, то за ними или стоит коммюнити или здесь что-то не так.
Из вашей предыдущей статьи
Перед нами стояла задача: поднять систему информационной безопасности на новый, более качественный уровень и не потратить при этом слишком много денег.
к сожалению такой подход не работает.
Выводы в конце статьи в целом верные, надеюсь в будущем сможете рассмотреть и российскую платформу - bugbounty.ru.
Багбанути площадка не покупатель багов, а некий мост между компаниями и IT-сообществом. В совокупности получается более выгодный и эффективный механизм по обеспечению высокого уровня безопасности информационных систем и ресурсов. Багхантеры получают деньги и славу, компании - безопасность.
Людям, которые "сдают" баги в даркнет по большей части все равно есть там багбаунти или нет, они выбрали свой путь. Многие отлично стреляют в тире, но лишь единицы идут в наемные убийцы, если брать Вашу аналогию.
Багхантер, выбирающий ту или иную программу оценивает ее по своим критериям. Большинство багхантеров довольны существующими выплатами и программами.
пентест != багбаунти
что мешает бездомным купит себе дома и перестать таковыми быть?
По своему опыту могу сказать что в даркнете ее еще надо найти кому продать, а багбаунти легальный и легитимный способ "обналичить" баги и спать спокойно.
Включу душнилу: каноничнее будет "эксплоит к уязвимости нулевого дня".
Это не киберполигон, это стенд и среда мониторинга к нему. Киберполигон это как минимум связная архитектура, а не одинокий сервер/сервис. В качестве готового примера - вот https://github.com/Orange-Cyberdefense/GOAD. В качестве средств аналитики/мониторинга попробуйте либо HELK (немного устаревший), либо комбайн на базе Kali Purple.
К слову, гугол тоже не принимает open redirect'ы без серьезного импакта.
Теперь ждем премиум лакшери подписку, где это можно отключить.
Вот тут понятнее написано: он использует совокупность признаков виде хеша, если хеш изменился - значит кто-то подменил AC.
Вообще существует несколько утилит для детекта rogue AP/evil twin и прочих атак.
Много комментариев про благотворительность - подтверждаю, Тиньков Банк, в рамках своей bug bounty программы, по просьбе багхантера на площадке bugbounty.ru , перечислил денежные средства в благотворительный фонд: https://t.me/bugbountyru_chat/1832
Для того чтобы пришли к багхантеру нужны веские доказательства, иначе будет как в анекдоте - "тогда и за изнасилование сажайте, инструмент-то есть". Тут вопрос стоит уже давно о введении в правовое поле понятия багхантер, но воз и ныне там.
Использование специальных хидеров и даже VPN не гарантирует что багхантер не расскажет о логике уязвимости. А вопрос приватности багхантера (раскрытие его данных для правоохранительных органов) сейчас лежит на стороне площадки, только на площадке могут знать/увязать реальные данные багхантера (и то, если он не оформляет выплаты на третье лицо, что никак не подтвердить) так что проблема скорее надуманная, реальные кейсы мне не встречались, что все равно не отменяет необходимости легализации багхантинга.
Отчеты под NDA, лучше писать нормальные, хотя бы по такому гайду: https://xakep.ru/2021/04/28/best-pentest-report/
Не всегда. На площадках размещения программ, например bugbounty.ru, где и собираются багхантеры, каждая программа анонсируется и видна исследователям, внешний маркетинг и реклама это дополнительные внешние факторы.
Я указал это в статье - "вымогательство вознаграждений".
Провести внутреннее тестирование. Провести тестирование автоматизированными средствами. Провести пентест. Запустить приватную программу (ограничение по участникам, либо депозитную систему (нанимаете пул хантеров за фиксированную цену - они приносят все что находят)). Запускаете публичную программу.
Олды помнят, даже проблемы одинаковые решали:
https://habr.com/ru/company/pentestit/blog/331406/
Всем заинтересовавшимся у Антона был целый цикл статей на эту тему: https://habr.com/ru/users/antgorka/posts/
gosuslugi.ru/security.txt
«период охлаждения» = холд?
Yubikey отличный токен, но пару ложек:
они сильно подорожали
при этом их нет в наличии.
У меня чувство deja vu: https://habr.com/ru/post/336596/. Такое ощущение что был потерян пласт знаний и сейчас потомки по крупицам воссоздают информацию о netcat, aircrack-ng и прочем.
09.05.21 сдал багу, 04.11.21 они ее закрыли после длительной переписки с абсолютно непонимающим саппортом. В HoF добавили, про вознаграждение я даже не стал им писать.
https://support.apple.com/ru-ru/HT201536
03 Nov 2021: Luka Safonov A server configuration issue was addressed.
Описание абсолютно не соответсвует зарепорченной баге.
Именно в этом наборе использовался Зауер м30 (ружье Геринга), уверен, кто-то в КБ вспомнил эту идею и модифицировал ее под космические реалии.
Идею ТП-82 взяли с «набора выживания люфтваффе»,
концепцию мультикалиберного ствола с Sauer m30
Писать нужно не в чат (это поддержка функционала, а не information security), а вот сюда: https://www.gosuslugi.ru/security.txt
На какой платформе если не секрет? Для многих хантеров "старая" (а год это старая) программа = все вычистили до нас, а учитывая
это нецелесообразная трата времени и сил. Да и просто могло быть неинтересно.
Хостинг-платформа - довольно специфичный сервис, с регистрацией, верификацией данных и оплатой. Предоставляли ли вы исследователям полноценные аккаунты для тестирования?
Я вам открою страшную тайну - скилловых хантеров ограниченное количество, как и методов и инструментария. Если они особо не ищут хантеров, а судя по регистрации это так, то за ними или стоит коммюнити или здесь что-то не так.
Из вашей предыдущей статьи
к сожалению такой подход не работает.
Выводы в конце статьи в целом верные, надеюсь в будущем сможете рассмотреть и российскую платформу - bugbounty.ru.