Наша взаимовыгодная связь https://banwar.org/
Сьогодні ми дізналися , Що росіянин Андрій Леонов отримав від Facebook рекордний гонорар за перебування помилки ($ 40 000), що дозволяла зламати соціальну мережу. Спеціаліст з кібербезпеки розповів «360» про те, що він був в курсі програми заохочення Facebook, яка відкрита з 2011 року. Він зацікавився питаннями інформаційної безпеки в 2007 році, а в кінці 2013, коли інформаційна безпека і програми заохочення дослідників стали входити в моду, став в них брати участь.
«Так, я знаходив серйозні уразливості в різних сервісах і раніше. Але переважна їх більшість - це закриті програми », про подробиці фахівець поширюватися не став.
Подібні випадки щедрості з боку компаній аж ніяк не рідкість - хакери дуже часто допомагають великим сайтам не зазнати збиток від реальних кібератак. Краудсекьюріті зараз в тренді серед компаній навіть з найнадійнішими системами захисту. На доказ наводимо великі сервіси, що пропонують заробити віртуальним хакерам «з народу», і коментарі експертів.
Однокласники
У 2013 році соціальна мережа «ОК» запустила своєрідний конкурс з пошуку багів під назвою «Нація тестує». Перші три людини, які виявили недоліки в системі, отримали 500 $. Для конкурсантів було поставлено критерій «серйозності» для помилки програміста:
«До розгляду приймаються уразливості, тобто недоліки в системі, використовуючи які, можна порушити її цілісність і призвести до неправильної роботи сайту. Уразливість може бути результатом помилок програмування, недоліків, допущених при проектуванні системи сайту, ненадійних паролів, вірусів і інших шкідливих програм, скриптових, а також SQL-ін'єкцій, що дозволяють вкрасти призначену для користувача сесію, завантажити контент (фото, відео і т. Д.), не маючи на це права ... »
Компанія начебто сховала баги по сайту у вигляді великодніх яєць і вирішила похвалити самого винахідливого хакера, який їх знайде. Насправді цей конкурс не що інше, як заклопотаність тим, що власні програмісти не можуть впоратися і беруть за роботу занадто багато. Краудсекьюріті в дії.
Як то кажуть, скупий платить двічі: з липня 2015 соціальна мережа відновила пропозицію. З цього моменту будь-який бажаючий може доповісти адміністрації про знайдені вразливості і отримати від $ 100.
ВКонтакте
Подібна практика, правда менш офіційна, існує і «ВКонтакте»: молоді хакери Артем Дізичев і Олег Варнов знайшли XSS-уразливість, яка дає досвідченому програмісту доступ до чужих акаунтів. Вони пишуть:
«Баг був дуже серйозним, адже активна вразливість дає доступ до дій від імені іншого користувача. Ми б могли спокійно розсилати заявки в друзі, переводити себе голоси або, більш того, могли б і Дурова зачепити ».
Але сумлінні хакери повідомили про помилку адміністрації і отримали за це від начальника відділу розробок по 150 000 рублів у внутрішній валюті VK - голосах.
Керівник проектів з інформаційної безпеки в компанії КРОК (компанія-системний інтегратор, входить в топ-10 найбільших IT-компаній РФ) Павло Луцик поділився з «360» своїм експертною думкою:
«Це досить популярна практика, багато софтові компанії, які покращують свої продукти, оголошують конкурси на пошук" дірок ". Можна згадати такий випадок: на заводі в Ірані зі збагачення урану використовувався контролер Siemens, в систему проник вірус Stuxnet і порушив роботу заводу, фактично зупинивши виробництво. Щоб зберегти своє обличчя, Siemens виставив для всіх бажаючих на огляд свій контролер для публічного пошуку вразливостей в своїй системі. Правда, якщо хакер співпрацює з офіційною компанією, то, напевно, він вже не зломщик, а "white hat hacker" (етичний хакер). Наша компанія також іноді залучає таких людей, коли для реалізації проекту необхідні специфічні компетенції. У будь-якій компанії, що займається інформаційною безпекою, є пул таких найманців ».
Багатими заохоченнями хакерів славиться Google - в 2010 році компанія анонсувала програму Chrome Rewards Program, в рамках якої виплатила хакерам в цілому близько $ 4 млн. Переможець контеста «Pwn2Own», 19-річний хакер під ніком Pinky Pie, отримав максимальний приз - $ 60 000. Всього призовий фонд конкурсу склав $ 1 млн. Американський хакер, який зламав iPhone і Sony PlayStation3, Джордж ХОЦ отримав $ 150 00 і був радо запросила компанія на стажування.
Більш того, в 2015 році пошуковик відкрив програму грантів для хакерів Vulnerability Research Grants. Виплати варіюються від $ 500 USD до $ 3 133, причому для отримання грошей не потрібно пред'явити помилки системи - їх можна шукати в процесі стажування. Як видно, це має свій ефект - за час співпраці з хакерами було розкрито понад 500 істотних багів.
Яндекс
У 2015 році головний вітчизняний пошуковик оголосив «місяць на пошук вразливостей» в своєму браузері. Приз за перше місце склав 500 000 рублів, за друге і третє - 300 000 і 150 000 відповідно. В умовах конкурсу «Яндекс» пише, що їх цікавлять «уразливості, що дозволяють порушити конфіденційність або цілісність призначених для користувача даних». Пошуковик намагався з'ясувати, чи є в його системі захисту слабкі місця, про які штатні програмісти і не підозрюють, і схоже досяг успіху в цьому.
Також з 2010 року за підтримки «Яндекса» і Digital Security в Москві проводиться міжнародна конференція Zeronights, присвячена кібербезпеки. В рамках конференції проводиться конкурс HackQuest, в ході якого учасникам теж належить зламати програми і обходити захист. Переможці отримують безкоштовне запрошення на конференцію і місце в Залі слави, що серед хакерів вважається дуже гідною нагородою.
Продюсер: Марія Мєшкова
