Комментарии 14
на цепочку поставок программного обеспечения.Воображение сразу начинает рисовать возможности поставлять модифицированные на низком уровне сервера и сетевое оборудование для взломов инфраструктуры.
Исследователь подчеркивает, что каждая организация, на которую было направлено это исследование, предоставила разрешение на проверку своей безопасности либо в публичной программе вознаграждений, либо путем частного соглашения.
А на тех, на кого исследование было не направлено, разве исследование не повлияло?
Вообще, на протяжении многих лет, видел кучу новостей «исследователь получил столько $» за обнаруженные проблемы в ПО. И это прекрасно. Но я всёже хочу спросить, тут вообще есть хоть один человек, которому было выплачено вознаграждение? за обнаруженные им критические проблемы.
На моём примере, писал о проблеме в сетевом устройстве, которое используется в высоко нагруженных серверах, для обработки криптографии. (у компании нет bug bounty). Проблема приводит к отказу в обслуживании, вызывается удалённо, проходит все средства защит. ( проблема в формировании сетевых пакетов и их обработке, поэтому и проходит все средства защит )
После уведомления компании разработчика, меня похвалили.
Три самых важных буквы из их ответа это — thx
Можно было обрушить клиент через простую rpc команду.
Да, я — тут есть.
За прошедший год я дважды получал существенные выплаты участвуя в багбаунти Яндекса. Даже в «Зале Славы» найти можно — https://yandex.ru/bugbounty/hall-of-fame/all/#devanchi
Помимо этого в течении года я рассылал уведомления об обнаруженных мной уязвимостях на различных сервисах их владельцам. И я могу лишь сказать, что тот опыт который вы получили при общении — типичен.
Из нескольких сотен уведомлений, я могу по пальцам пересчитать тех кто поблагодарил, хотя бы. И наизусть назвать пофамильно тех, кто ответил материальным вознаграждением. К слову, суммарный объём вознаграждений здесь составил менее 10.000₽.
Вайтхат, это — чистой воды для волонтёров развлечение.
Уточню только, «существенные выплаты» от яндекса, входят в те 10к рублей? (чтоб не осталось недосказанности)
И ещё задам дополнительный вопрос. Нынче, от этих уведомлений был какой-то толк?
Мол если в своём резюме указать: «находил проблемы, там-то там-то» то это котируется?
Любо для работодателей (либо клиентов), в Вашем резюме будет смотреться гораздо солидней «набор различных аббревиатур и непонятных названий» (новомодных технологий)
Существенные выплаты от Яндекса — от Яндекса и существенные.
Не десятки тысяч долларов, но более чем выше средней рыночной стоимости моего затраченного времени, удовлетворение присутствует в полной мере.
Те 10к рублей — те, что суммарно собрались с результатов волонтёрской работы. Эта сумма не связана с Яндексом.
Но вы учитывайте, что на инфраструктуре у команд имеющих багбаунти программы, все низковисящие фрукты сбиты другими макаками так же принимающими участие в погоне за бананами, поэтому количество усилий требуемое для обнаружения серьёзной уязвимости ни в какое сравнение не идёт с «обычным» вебом, где за полчаса ты можешь найти сколько угодно лютой дичи, которая, по-сути, никому не интересна.
Да и подавляющее большинство обнаруженных уязвимостей, вне зависимости от того закрыты в итоге они или нет, вряд ли будут когда-либо публично разглашены. В резюме указаны не будут, точно.
В инфобезе хорошо работает история с адресными благодарочками, например. Или по старинке пишите интересный (1) контент (2) в медиа, это универсальный рецепт усиления своей ценности в глазах внешнего наблюдателя.
Коллега от fb получил 40к$.
просто опубликовав общедоступные пакеты с тем же именем, что и у внутренних пакетов компаний.
Забавно, что я предполагал такую уязвимость ещё в 2018-м:
… может случиться беда, и сверхсекретное название пакета случайно утечёт в интернетики в одном из моих случайных скриншотов. Злоумышленник, налюбовавшись на скриншот, заливает на pypi.org mysecretproject-99999.999.999, в итоге мой pip ставит пакет не с локалхоста, а из pypi.org — и всё, моя система скомпрометирована!
Странно это все очень. Установщики пакетов при наличии локфайлов сверяют хэшсуммы пакета. Неужели их не используют в столь продвинутых компаниях?
Исследователь взломал системы 35 крупных IT-компаний путем атаки на цепочку зависимостей