html текст
All interests
  • All interests
  • Design
  • Food
  • Gadgets
  • Humor
  • News
  • Photo
  • Travel
  • Video
Click to see the next recommended page
Like it
Don't like
Add to Favorites

«Белые хакеры» — как легально взламывать системы и получать за это деньги

Редакция AIN.UA поговорила с двумя «белым хакерами» о том, как они работают над поиском уязвимостей украинских компаний, можно ли на этом заработать и зачем это делают. 

facebook
twitter
вконтакте
pocket
linkedin
fb messenger

Bug Bounty — это программы, в рамках которых специалисты легально ищут уязвимости в сервисах определенных компаний и легально же получают за это вознаграждения. Такие программы есть у Facebook, Google, Microsoft, Amazon, Uber и многих других. Среди них есть и украинские компании. Например, «ПриватБанк» запустил свою программу еще в 2012 году, а за 5 лет работы программы Bug Bounty «ПриватБанк» получил от добровольных тестировщиков более 1 800 результативных сигналов об уязвимостях и выплатил данным «охотникам за багами» более 2,7 млн грн вознаграждения. Недавно свою программу Bug Bounty запустила компания «Киевстар». 

Экспертов, которые участвуют в Bug Bounty, называют этичными хакерами или «White hat» («белые шляпы»), что указывает на то, что взломы сервисов такие люди производят легально, а не в корыстных целях, и сообщают о найденном в компанию, а не используют для противоправной деятельности или продажи на подпольных форумах. Сами же специалисты предпочитают называть себя исследователями в области информационной безопасности (security или vulnerability researcher), а не хакерами, поскольку по факту они никого не взламывают, а находят уязвимости и сообщают о них.

Артем Бобок и Денис Козенко (оба входят в рейтинг самых активных багхантеров по версии «ПриватБанка») рассказали AIN.UA о том, как находят уязвимости в украинских компаниях и что за это получают. 

Где работаете?

Артем Бобок, ник gorodnya: Мне 30, я работаю в одном из украинских банков тестировщиком.

Денис Козенко, ник denisdnu: Мне 36 лет, работаю Java-разработчиком в одной из аутсорсинговых компаний.

Как давно занимаетесь поиском уязвимостей и почему начал?

АБ: Тестированием тех или иных сервисов в свободное от основной работы время я занимаюсь около 5 лет, поиском именно уязвимостей меньше — 3 года. Почему начал? После того, как нашел свою первую уязвимость в крупнейшем украинском платежном сервисе, понял: если уж здесь нашел, то и дальше смогу.

ДК: Поиском уязвимостей занимаюсь порядка 5 лет. Я заинтересовался этим после того, как компания, в которой я работал начинающим программистом, сама запустила внутрикорпоративную программу по поиску уязвимостей. Так, однажды кто-то из сотрудников другого департамента нашел уязвимость в сервисе, который на тот момент разрабатывала моя команда. После ее закрытия я начал проверять все наши сервисы, а потом и сервисы всей компании. Так и затянуло.

Смотрите на баги только в тех сервисах, которые платят за них?

АБ: Нет, не только. Я тестирую не только те сервисы, которые платят за уязвимости. Стараюсь по возможности смотреть все, что выходит на рынок, связанное с платежными технологиями. Мне это интересно и полезно как для расширения кругозора, получения полезных контактов, так и для работы.

ДК: По-разному. Иногда ищу в тех сервисах, которыми активно пользуюсь. Если нахожу дыру, настойчиво прошу закрыть, так как под угрозой находятся мои персональные данные. Представляюсь обычно клиентом и никогда денег за такие уязвимости не прошу. Но иногда платят. А иногда, из-за непрофессионализма сотрудников, компании не признают факта наличия уязвимости, либо всячески пытаются приуменьшить ее критичность. Так часто бывает, если обращаешься в клиентскую поддержку как клиент, а не исследователь безопасности. В таком случае иногда приходится публиковать информацию об уязвимости на профильных сайтах, например «Хабрахабр», чтобы донести до компании важность поднятой проблемы. Тогда они быстрее реагируют и закрывают уязвимости.

Ищете уязвимость ради вознаграждения?

АБ: Ищу из спортивного интереса, а также потому, что часто знаю, что должно быть в том или ином месте. Не обязательно это будет именно уязвимость — я сообщаю также и о недочетах в дизайне, процессах, о том, как улучшить пользовательский опыт. Ну и считаю, что критические ошибки нужно исправлять, дабы они не навредили ни компании, ни ее клиентам.

ДК: Чаще всего это просто интерес. Какое-то время искал уязвимости в рамках дополнительного заработка, сейчас этим практически не занимаюсь, так как свободного от основной работы времени у меня не так много. Я сейчас уделяю больше внимания профессиональному росту на основном месте работы, что в достаточной степени компенсирует мне упущенные дополнительные доходы. Поэтому, как я уже сказал, в данный момент я чаще всего ищу уязвимости так сказать «налету», в процессе пользования сервисами. Например, при покупке авиабилетов, при бронировании автомобиля в путешествии, при пользовании личным кабинетом оператора мобильной связи. Помимо интереса, такие действия позволяют хоть немного, но сделать безопаснее сайты, которыми я пользуюсь.

Что мешает продавать найденное на черном рынке — наверняка за определенные ошибки там заплатят больше?

АБ: Мне хочется делать мир лучше, поэтому о том, чтобы продать информацию на черном рынке, даже мыслей нет. И, конечно, я вижу примеры багхантеров, которые честным трудом зарабатывали по несколько тысяч долларов за одну уязвимость. Надеюсь, когда-нибудь и я найду ошибку в Facebook стоимостью $30 000 🙂

ДК: Это противозаконно, деньги меня не интересуют настолько, чтобы лезть в эту область. Я признаю только этичный хакинг — тот, который приносит пользу, а не вред.

Какое самое смешное вознаграждение вы получали? Не обязательно в денежном эквиваленте.

АБ: Я расскажу о вознаграждении, которое не связано с серьезной проблемой. Мне понравился один сервис. Во время тестирования я сделал заказ на минимально возможную сумму — купил чашку кофе. После отправки в компанию отчета о найденных ошибках меня поблагодарили, а также сообщили, что в знак благодарности мне бесплатно повторили мой заказ — чашку кофе, стоимостью 12 гривен. Это было смешно.

ДК: Наверное, 4000 бесплатных мегабайт для мобильного интернета от «Киевстар». У меня их было и так больше необходимого на тот момент. В итоге я их так и не использовал. Да и стоимость этих мегабайт была смешная по сравнению с критичностью уязвимости — особенно учитывая то, что недавно «Киевстар» запускал двухнедельную багбаунти-программу на Bugcrowd, когда средняя сумма выплаты за уязвимости составила $430.

Можете рассказать о самом крупном?

АБ: Самым крупным вознаграждением я считаю вот такое. Однажды мне настолько понравились интернет-банкинг и платежные карты одного банка, что я решил, что хотел бы там работать. После того, как я оформил и получил их карту, я нашел ошибку в их системе и написал по найденным на сайте контактам. На следующий день мне позвонили, поблагодарили за сообщение и сообщили, что ошибка уже исправлена. А еще поинтересовались, кем я работаю и не хочу ли работать у них. Через месяц я уже вышел к ним на работу, где с удовольствием и работаю по сей день.

ДК: Одна из уязвимостей на сайте «ПриватБанка». Точной суммы не помню, что-то около $1500.

Быстро ли компании реагируют на сообщения о дырах в безопасности и быстро ли их исправляют?

АБ: По-разному. Были случаи, когда ошибки исправлялись за один рабочий день, а бывает, когда переписка идет несколько месяцев, потому что приходится доказывать серьезность проблемы или вообще факт ее наличия.

ДК: Те компании, которые предлагают багбаунти-программы, реагируют как правило быстрее, чем компании, не заинтересованные в этом. По моему опыту, в среднем компания тратит 1 месяц на закрытие уязвимости.

Ищете ли баги в зарубежных сервисах:

АБ: Специально не ищу, но иногда нахожу в том, чем пользуюсь, или в том, что новое вышло на рынок. Просмотреть все попросту нет времени.

ДК: Да.

Насколько уязвимые украинские сайты?

АБ: Украинцы делают как прекрасные продукты и услуги, так и сайты с банальными уязвимостями.

ДК: Трудно сравнить объективно без статистики. Субъективно, не больше, чем зарубежные. Все зависит от бюджета, потраченного на разработку и поддержку ПО, а так же от внутрикорпоративных стандартов в этой области разработки и зачастую из-за некомпетентности руководства либо ответственных лиц в вопросах безопасности ПО. 

Почему компании медлят в решение своих проблем?

АБ: В основном, сложно пробиться сквозь их линии поддержки — сквозь колл-центры и саппорт — чтобы донести ситуацию до ответственного сотрудника. У 99,99% нет выделенного email-ящика для получения сообщений от клиентов о найденных проблемах — приходится звонить или писать по всем найденных контактам, просить соединить с отделом безопасности, предоставить их контактные данные или передать сотрудникам мои, или спрашивать контакты по знакомым. На сообщения не отвечают или отвечают, что это не ошибка и это нормально (хотя ты знаешь, что это далеко не так). Пример из личного опыта. Нашел проблему, отправил письмо. На протяжении недели никакого ответа не последовало. Отправил второе письмо — тоже ноль реакции. В третий раз переслал вопрос, получили ли мое сообщение, уже на дополнительные адреса, которые смог найти. Тоже ничего. Написал на email, который был указан в контактах разработчика мобильного приложения этой компании. И уже на пятом письме мне отвечает руководитель, который извинился, сказав, что первоначальный ящик, на который я писал, не отслеживался. Т.е. на одной из главных страниц сайта они разместили контактный email, который не проверяют! Вот так и получается. 

ДК: Частично я ответил в предыдущем сообщении — многое зависит от внутрикорпоративных стандартов. Также часто причиной является отсутствие каналов связи с компетентными безопасниками либо разработчиками, которые могут адекватно принять полученную информацию и оперативно среагировать.

Напомним, ранее AIN.UA брал интервью у капитана команды DCUA — команды, которая обошла соперников из более чем 12 000 команд из всех стран мира.

Заметили ошибку? Выделите ее и нажмите Ctrl+Enter, чтобы сообщить нам.

facebook
twitter
вконтакте
pocket
linkedin
fb messenger
Подпишись на нашу рассылку!
Также подобрали для вас
загрузить еще
Добавить комментарий

Такой e-mail уже зарегистрирован. Воспользуйтесь формой входа или введите другой.

Вы ввели некорректные логин или пароль

Читать дальше
Twitter
Одноклассники
Мой Мир

материал с ain.ua

1

      Add

      You can create thematic collections and keep, for instance, all recipes in one place so you will never lose them.

      No images found
      Previous Next 0 / 0
      500
      • Advertisement
      • Animals
      • Architecture
      • Art
      • Auto
      • Aviation
      • Books
      • Cartoons
      • Celebrities
      • Children
      • Culture
      • Design
      • Economics
      • Education
      • Entertainment
      • Fashion
      • Fitness
      • Food
      • Gadgets
      • Games
      • Health
      • History
      • Hobby
      • Humor
      • Interior
      • Moto
      • Movies
      • Music
      • Nature
      • News
      • Photo
      • Pictures
      • Politics
      • Psychology
      • Science
      • Society
      • Sport
      • Technology
      • Travel
      • Video
      • Weapons
      • Web
      • Work
        Submit
        Valid formats are JPG, PNG, GIF.
        Not more than 5 Мb, please.
        30
        surfingbird.ru/site/
        RSS format guidelines
        500
        • Advertisement
        • Animals
        • Architecture
        • Art
        • Auto
        • Aviation
        • Books
        • Cartoons
        • Celebrities
        • Children
        • Culture
        • Design
        • Economics
        • Education
        • Entertainment
        • Fashion
        • Fitness
        • Food
        • Gadgets
        • Games
        • Health
        • History
        • Hobby
        • Humor
        • Interior
        • Moto
        • Movies
        • Music
        • Nature
        • News
        • Photo
        • Pictures
        • Politics
        • Psychology
        • Science
        • Society
        • Sport
        • Technology
        • Travel
        • Video
        • Weapons
        • Web
        • Work

          Submit

          Thank you! Wait for moderation.

          Тебе это не нравится?

          You can block the domain, tag, user or channel, and we'll stop recommend it to you. You can always unblock them in your settings.

          • AIN.UA
          • стартап
          • java
          • вконтакте
          • домен ain.ua

          Get a link

          Спасибо, твоя жалоба принята.

          Log on to Surfingbird

          Recover
          Sign up

          or

          Welcome to Surfingbird.com!

          You'll find thousands of interesting pages, photos, and videos inside.
          Join!

          • Personal
            recommendations

          • Stash
            interesting and useful stuff

          • Anywhere,
            anytime

          Do we already know you? Login or restore the password.

          Close

          Add to collection

             

            Facebook

            Ваш профиль на рассмотрении, обновите страницу через несколько секунд

            Facebook

            К сожалению, вы не попадаете под условия акции