Видео: Маленькое королевство Бена и Холли - Вылазка ⭐Лучшие моменты (Септември 2024)
Изследователи по сигурността, които са специализирани в тестовете за проникване, прекарват дните си (и нощите) в опити да разбият системите за сигурност. Ако намерят дупка за сигурност в даден продукт преди лошите, това дава време на производителя на продукта да изтласка кръпка. Какво има в изследователя? Може би $ 100 000 долара за грешки, ако проблемът беше в продукт на Microsoft. Изследователи от High-Tech Bridge, фирма за сигурност и фирма за тестване за проникване, съобщават, че Yahoo също предлага бонуси. Първият репортер на проверима грешка в сигурността получава… $ 12, 50, осребрява се само във фирмения магазин на Yahoo за "корпоративни тениски, чаши, химикалки и други аксесоари". Наистина, Yahoo?
Бързо напукани
Уеб страницата за сигурност в Yahoo отчита стъпките за сигурност, предприети от компанията, заедно с колекция от съвети. Хората, които смятат, че техните акаунти са били хакнати или компрометирани, могат да се свържат с Yahoo от тази страница за помощ. Освен това се посочва: „Ако сте член на общността за сигурност и трябва да съобщите за техническа уязвимост, свържете се с: [email protected]“.
За да оценят системата Bug Bounty, изследователите на High-Tech Bridge седнаха и започнаха да търсят дупки в сигурността в уебсайтовете на Yahoo. Намериха един веднага, но вече беше съобщено. В течение на още няколко дни те откриха още три уязвимости за скриптове на различни сайтове, всички нови. (Това не е ли малко тревожно само по себе си?) Според доклада, „всяка от откритите уязвимости позволи на всеки имейл акаунт на @ yahoo.com да бъде компрометиран, просто чрез изпращане на специално изработена връзка към влезли в Yahoo потребител.“ След като потребителят кликне върху тази връзка, играта приключи.
Собствените изследователи на Yahoo потвърдиха, че тези уязвимости наистина съществуват (оттогава те са отстранени). Те предложиха на изследователския екип сърдечна благодарност и награда от 12, 50 долара за грешка, която може да се изкупи във фирмения магазин. Изследователите не бяха впечатлени; в доклада се казва: „В този момент решихме да спрем с по-нататъшни изследвания“.
По-големи Bounties
Microsoft ще плати сума от $ 100 000 за някои отчети. Facebook е изплатил над милион долара. Apple не плаща бонуси на бъгове, но награждава "отговорно разкриване" със слава. За мен политиката на Apple за безвъзмездна справедлива слава на Apple изглежда по-добра от възлагането на промяна на корите.
„Yahoo вероятно трябва да преразгледа отношенията си с изследователи по сигурността“, коментира Илия Колоченко, изпълнителен директор на High-Tech Bridge. "Плащането на няколко долара за уязвимост е лоша шега и няма да мотивира хората да съобщават уязвимости за сигурността им, особено когато такива уязвимости могат лесно да бъдат продадени на черния пазар за много по-висока цена." Той заключава, че ако Yahoo не харчи повече за корпоративна сигурност, "никой от клиентите на Yahoo никога не може да се почувства в безопасност."
Други компании се нуждаят от продажби, за да осъзнаят, че натрупванията на бъгове се изплащат в големи срокове. Преди няколко години Facebook предлагаше само 500 долара. Съвсем наскоро един изследовател, отказан от печалба от Facebook, демонстрира откритието си, като публикува на стената на Марк Зукърбърг. Брайън Мартин, президент на Фондация „Отворена сигурност“, отбеляза, че „Дори Microsoft, който беше най-прочутият задържане на програмите за баг бънт, осъзнаваше стойността и скочи пред останалите, предлагайки до 100 000 долара“. Той продължи да казва: „Някои от тези компании плащат на портиерите си повече пари за почистване на офисите им, отколкото правят изследователи по сигурността, които намират уязвимости, които могат да изложат на риск хиляди клиенти.“
Трябва да се съглася. Ако продавачите няма да плащат за открития от изследователи по сигурността, със сигурност има други, които ще го направят. Не искаме онези умни изследователи да се обръщат към Тъмната страна, за да хранят децата си.
