Security Meetup в офисе Mail.Ru Group — как это было



    Всем привет! Меня зовут Ира, я выпускающий редактор в журнале Хакер. В начале декабря я побывала на Security Meetup в офисе Mail.Ru Group и хочу поделиться впечатлениями. Митап был посвящен программам bug bounty. Первый доклад сделала по видеосвязи представительница авторитетного международного хакерского сообщества HackerOne. Она рассказала о том, как компаниям организовать собственную программу bug bounty c помощью этого сервиса, а пентестерам прокачать навыки и заработать денег. HackerOne — это вещь! Во-первых, он облегчает жизнь представителем компаний:
    • можно быстро и легко донести информацию о проведении bug bounty до целевой аудитории (ведь если сайт по продаже, к примеру, наборов для вышивания, разместит у себя на главной странице баннер о bug bounty, то отклика от пентестеров он может не дождаться)
    • не надо думать о том, как вознаграждения дойдут до пользователей, финансовые вопросы берет на себя HackerOne

    Во-вторых, этот сервис защищает пентестеров от несправедливости со стороны компаний. Если хакер найдет уязвимость, а фирма не захочет за нее заплатить, то вмешается администрация HackerOne и решит конфликт между двумя сторонами.

    Логичнее было бы поставить этот доклад после того, как докладчики из Яндекса, Mail.Ru Group и Badoo рассказали о тех проблемах, с которыми они сталкивались при организации программ по поиску уязвимостей. Ведь люди, которые не занимались подобной деятельностью, не имеют понятия о сложностях, связанных с проведением bug bounty, и им трудно было сразу осознать выгоду, которую можно получить от сотрудничества с HackerOne.

    Владимир Дубровин (Mail.Ru Group) и Тарас Иващенко (Яндекс) рассказали о проведенных их компаниями программах bug bounty. Они отметили следующие трудности:
    • огромное количество спама (на сотню bug-репортов приходится 3-4 адекватных). Прим.: на HackerOne «хакеров»-спамеров банят, и это еще одна причина его использовать.
    • перечисление вознаграждений — очень сложный процесс. Участники попадаются со всего мира. Некоторые из них не имеют банковских счетов и электронных кошельков. С каждым приходится индивидуально решать этот вопрос.
    • часто хакеры присылают отчеты об уже найденных до них уязвимостях и требуют вознаграждение. Эти ситуации отнимают моральные силы у организаторов программ. Но как сказал представитель одной из компаний, «кто первый встал, того и тапки».

    С технической точки зрения мне показался наиболее интересным доклад Ильи Агеева из Badoo. Если его предшественники больше говорили об общих проблемах проведения программ, то он подробно рассказывал о конкретных найденных уязвимостях. В частности, о том, как можно было, меняя число в адресной строке, увеличивать баланс пользователя (помню, на рубеже 2006 и 2007 годов ВКонтакте тоже имелась подобная уязвимость, позволявшая накручивать рейтинг).

    Дмитрий Бумов, как всегда, был на высоте. Этот парень — великолепный докладчик, который зажигает весь зал своей энергией. Он рассказывал о своем опыте участия в программах bug bounty (упоминал такие известные имена, как Facebook, Twitter и т.д.) и найденных им багах. Еще Дима давал советы о том, как находить уязвимости наиболее эффективно («Надо думать, а не вставлять в bug-report выдачу сканера»). Жаль, что его докладу было уделено мало времени, но удачно то, что его поставили в конец. Благодаря такой расстановке докладчиков слушатели шли домой с легким и позитивным настроением.

    Пару слов об организационных моментах. В подарок дали футболку с рисунком из нулей и единиц. Я пришла ровно в 19:00, и поэтому удалось получить футболку моего размера. Для участников был организован отдельный Coffee Point – чай, кофе, печенье и газированные напитки. Если знать куда идти (подняться по стеклянной лестнице напротив спортзала), то можно раздобыть тыкву и свежевыжатый апельсиновый сок.

    Брейк длился целых полчаса, а этого вполне достаточно, чтобы погулять по офису Mail.Ru Group. В этом «офисе мечты» можно увидеть много интересного:
    • огромный телевизор во всю стену, по которому беспрерывно транслировали сериал «Кремниевая долина» (за все разы, что я бывала в Mail.Ru Group, не видела, чтобы его кто-нибудь смотрел :))
    • столы для игр (настольный футбол и т.д.)
    • уголки для уединения — углубления в стенах, в которых размещены диванчики и подушки на них (в одних можно свободно разместиться втроем, а в некоторые даже вдвоем не влезешь… ну, только если очень постараться)
    • невероятную панораму Москвы из окон 26 этажа

    Несмотря на то, что регистрация на встречу была открытой, а участие бесплатным, в зале было довольно мало случайных гостей. Большинство лиц в зале были мне знакомы (авторы «Хакера», полтора десятка сотрудников Mail.Ru Group, известные представители российского сектора ИБ и просто люди, которые примелькались на других конференциях). Но возможностей для неформального общения участникам представилось немного: время на вопросы после докладов было сильно ограничено, а на просто общение был отведен лишь получасовой брейк.

    Этот митап был полезен прежде всего сотрудникам компаний, которые проводили, проводят или будут проводить программы bug bounty. Они вынесли из него реально уникальные и практически полезные знания. Специальной информации для пентестеров было неожиданно мало. Некоторым слушателям это не понравилось. Впрочем, содержание докладов соответствовало анонсу мероприятия и люди знали, куда идут.

    Видеозапись докладов:

    Mail.ru Group
    Building the Internet

    Similar posts

    Comments 9

      –3
      Только прочитав «Меня зовут Ира» и «журнале Хакер» мне сразу захотелось спросить не с вас ли делали фото для номера хакера в далеком декабре 2005 ;-)
      фото
      image
        –9
        И специально для минусующих, из того же номера, раз уж карме швах ))
        Не будьте Алешами )) будьте Никитами!!! И демография в стране станет лучше!!!
        habrastorage.org/files/7f0/423/2fa/7f04232fa54743a691fb7ea44a9f3268.jpg
        • UFO just landed and posted this here
            +3
            А в чем идиотичность и хамство вопроса?
            Чем человек заслужил прозвища «дибил»? И кто вы такой чтобы его оскорблять?
            • UFO just landed and posted this here
            +1
            Эти сообщения — стеб над журналом Хакер 2000-ых годов?
            Да. Тогда в нем часто встречались эротические изображения и непристойные шутки, иногда чересчур ниже пояса и с шовинистким акцентом. В то время это воспринималось нормально. В 2000-2002 годах ][ даже публиковал статьи о жизни порноактрис и советы для малолетних пикаперов:-)
            Но это в далеком прошлом. Мир изменился и журнал вместе с ним. Теперь Хакер серьезное IT-издание и на его страницах нет материалов, которые могут кого-то оскорбить.
              0
              клевое раньше было время))
                0
                Это было «детство» и «юность» журнала. В конце 90-х — самом начале 2000-х эти журналы передавали особую атмосферу молодой хак-сцены.
                А сейчас журнал вырос — вместе со сценой. Естественный процесс, но почему-то немного грустно.
            0
            митап

            пентестеров

            image

            Only users with full accounts can post comments. Log in, please.