Twitter будет платить хакерам за найденные уязвимости
Twitter будет платить исследователям либо «хорошим самаритянам» из хакеров за найденные уязвимости в платформе, о которых они скажут компании. Подобные программы запустили многие другие технологические компании, а также российские.
Сущность программы пребывает в том, что юзеры информируют компании об уязвимостях и разрешают ей исправить неточности перед тем, как они смогут опубликовать эти сведенья. В другом случае хакеры имели возможность бы воспользоваться данной возможностью для собственных целей.
Такая практика есть стандартной для экспертов по компьютерной безопасности, каковые выявляют такие «баги» – как за деньги, так и безвозмездно, – не смотря на то, что кое-какие из них публично говорили о собственных находках через какое-то время, в случае если думали, что компания не действует достаточно скоро для исправления значительной неприятности.
Программа касается «настольной» и мобильной веб-предположений Twitter, приложений для платформ iOS и Android, и еще нескольких принадлежащих компании сервисов, а также Tweetdesk.
Минимальное вознаграждение, на которое может рассчитывать нашедший «баг» в сервисах Twitter, — $140. По всей видимости, это намек на большую длину поста в данной соцсети – 140 знаков. За первый квартал тестирования программы Twitter заплатил 44 энтузиастам и исправил 46 неточностей.
Начальник Zecurion Analytics Владимир Ульянов отмечает, что программа Twitter нацелена в первую очередь на исследователей и обычных пользователей в области безопасности, а не на опытных хакеров. «Жаль, мы не знаем настоящего уровня оплаты обнаружения уязвимостей. Но $140 – очевидно не та сумма, которая может заинтересовать опытного хакера», — выделил он в беседе с «Газетой.Ru».
Нулевые хакеры Гугл
Компания Гугл решила в очередной раз сделать мир лучше: сейчас она нанимает высококвалифицированных хакеров, каковые на протяжении проекта Project Zero…
У Facebook, Микрософт и Googlе, как и у большинства вторых технологических компаний, имеется личные подобные программы. В Facebook, например, заявляли, что выплатили «хорошим» хакерам более $1 млн. Данный способ обеспечения кибербезопасности делается все ответственнее, поскольку побуждает специалистов обнаружить уязвимости раньше, чем это сделают преступники.
Необходимо подчеркнуть, что корпорация Apple есть одним из исключений, предпочитая надеяться на личные силы в обеспечении безопасности, но, учитывая недавние скандальные утечки, обстоятельством которых якобы послужили уязвимости в сервисе iCloud, нельзя исключать, что Apple запустит собственную программу.
Российские технологические компании кроме этого следуют тренду. Первой большой русским компанией, запустившей подобную программу поощрения, два года назад стал «Яндекс». В рамках программы «Охота за неточностями» компания выплачивает за отысканные уязвимости от 5 до 100 тыс. руб., в зависимости от критичности «багов».
По словам начальника работы информационной безопасности «Яндекса» Антона Карпова, «охота» разрешила создать около компании сообщество исследователей безопасности, каковые систематично контролируют сервисы на уязвимости. «Программа Bug Bounty — это современный подход к краудсорсингу безопасности, в то время, когда исследователи в области информационной безопасности приобретают вознаграждение за собственный труд», — поведал он «Газете.Ru».
Второй российский интернет-гигант, Mail.Ru Group, в апреле совершил первый конкурс на поиск уязвимостей в рамках программы Bug Bounty. Победитель конкурса взял $5 тыс., эксперты, занявшие третье и второе места, — $3 тыс. и $1,5 тыс. соответственно, остальные участники получили от $150.
Взломать Gmail c 92-процентной возможностью
Уязвимость Android, Windows и iOS разрешает хакерам взламывать Gmail, Amazon и другие популярные приложения, замаскировав страшное приложение под…
«Практика проведения конкурсов формата Bug Bounty превосходно зарекомендовала себя во всем мире, потому, что оказывает помощь действенно выявлять скрытые угрозы, — заявила вице-президент Mail.Ru Group, начальник бизнес-подразделения «портал и Почта» Анна Артамонова. Наряду с этим у программы имеется и вторая задача: с ее помощью компания пытается популяризировать идею важности информационной безопасности, отметила она.
Но, не все программы вознаграждения для специалистов по безопасности выясняются успешными: бывают случаи, в то время, когда они приводят к конфликтам.
Так, в сентябре 2013 года эксперты швейцарской компании High-Tech Bridge решили проверить, какой будет реакция Яху! на найденные в ее продуктах уязвимости. Отыскав первую XSS-уязвимость всего за 45 мин., они сказали об этом представителям Яху!, но им ответили, что этот «баг» уже был обнаружен вторым человеком, а за каждую из трех последующих уязвимостей им было предложено всего $12,5, причем вознаграждение возможно было забрать только в качестве скидки в магазине Яху Company Store, в котором продаются сувениры с символикой Яху!.
Хакеры обнажили Голливуд
Крупный скандал снова разразился в Голливуде: в сеть просочились откровенные снимки многих знаменитостей. В этом случае в центре внимания была…
Но в целом подобная схема поощрения исследователей прекрасно себя зарекомендовала, отмечают специалисты по компьютерной безопасности.
«Для большинства компаний деньги, каковые они платят в качестве вознаграждения, — сущие копейки. Наряду с этим удается вправду улучшить собственные сервисы, а в некоторых случаях еще и сэкономить на штате тестировщиков»,
— говорит Владимир Ульянов.
«Если бы компании вправду пробовали выкупить уязвимости у настоящих хакеров либо в случае если вообразить, что устраивались бы открытые аукционы, цена была бы в разы, если не на порядки больше стандартных вознаграждений», — отмечает он.