Pull to refresh

Comments 14

Как удачно упущена главная суть
на цепочку поставок программного обеспечения.
Воображение сразу начинает рисовать возможности поставлять модифицированные на низком уровне сервера и сетевое оборудование для взломов инфраструктуры.
Видимо, сам термин «цепочка поставок» неудачен, так как в русском языке термин «поставка» ассоциируется исключительно с материальными предметами. Удачнее было бы назвать это «цепочкой зависимостей»
Исследователь подчеркивает, что каждая организация, на которую было направлено это исследование, предоставила разрешение на проверку своей безопасности либо в публичной программе вознаграждений, либо путем частного соглашения.

А на тех, на кого исследование было не направлено, разве исследование не повлияло?

Вообще, на протяжении многих лет, видел кучу новостей «исследователь получил столько $» за обнаруженные проблемы в ПО. И это прекрасно. Но я всёже хочу спросить, тут вообще есть хоть один человек, которому было выплачено вознаграждение? за обнаруженные им критические проблемы.

На моём примере, писал о проблеме в сетевом устройстве, которое используется в высоко нагруженных серверах, для обработки криптографии. (у компании нет bug bounty). Проблема приводит к отказу в обслуживании, вызывается удалённо, проходит все средства защит. ( проблема в формировании сетевых пакетов и их обработке, поэтому и проходит все средства защит )
После уведомления компании разработчика, меня похвалили.
Три самых важных буквы из их ответа это — thx
Лично получал около 100 долларов за то что сообщил об ошибке в Dash Core -клиенте. (крипте).

Можно было обрушить клиент через простую rpc команду.

Да, я — тут есть.


За прошедший год я дважды получал существенные выплаты участвуя в багбаунти Яндекса. Даже в «Зале Славы» найти можно — https://yandex.ru/bugbounty/hall-of-fame/all/#devanchi


Помимо этого в течении года я рассылал уведомления об обнаруженных мной уязвимостях на различных сервисах их владельцам. И я могу лишь сказать, что тот опыт который вы получили при общении — типичен.


Из нескольких сотен уведомлений, я могу по пальцам пересчитать тех кто поблагодарил, хотя бы. И наизусть назвать пофамильно тех, кто ответил материальным вознаграждением. К слову, суммарный объём вознаграждений здесь составил менее 10.000₽.


Вайтхат, это — чистой воды для волонтёров развлечение.

Спасибо за развернутый ответ.
Уточню только, «существенные выплаты» от яндекса, входят в те 10к рублей? (чтоб не осталось недосказанности)

И ещё задам дополнительный вопрос. Нынче, от этих уведомлений был какой-то толк?
Мол если в своём резюме указать: «находил проблемы, там-то там-то» то это котируется?
Любо для работодателей (либо клиентов), в Вашем резюме будет смотреться гораздо солидней «набор различных аббревиатур и непонятных названий» (новомодных технологий)

Существенные выплаты от Яндекса — от Яндекса и существенные.


Не десятки тысяч долларов, но более чем выше средней рыночной стоимости моего затраченного времени, удовлетворение присутствует в полной мере.


Те 10к рублей — те, что суммарно собрались с результатов волонтёрской работы. Эта сумма не связана с Яндексом.


Но вы учитывайте, что на инфраструктуре у команд имеющих багбаунти программы, все низковисящие фрукты сбиты другими макаками так же принимающими участие в погоне за бананами, поэтому количество усилий требуемое для обнаружения серьёзной уязвимости ни в какое сравнение не идёт с «обычным» вебом, где за полчаса ты можешь найти сколько угодно лютой дичи, которая, по-сути, никому не интересна.


Да и подавляющее большинство обнаруженных уязвимостей, вне зависимости от того закрыты в итоге они или нет, вряд ли будут когда-либо публично разглашены. В резюме указаны не будут, точно.


В инфобезе хорошо работает история с адресными благодарочками, например. Или по старинке пишите интересный (1) контент (2) в медиа, это универсальный рецепт усиления своей ценности в глазах внешнего наблюдателя.

Спасибо за ответ.
Ознакомился с Вашими статьями.

Пойду дальше, выращивать своё банановое дерево :)
Так бывает, когда Вы приняли фичу за баг.
Сдается мне что эта уязвимость была найдена заинтересованными лицами практически сразу как появились эти репозитории…
просто опубликовав общедоступные пакеты с тем же именем, что и у внутренних пакетов компаний.

Забавно, что я предполагал такую уязвимость ещё в 2018-м:


… может случиться беда, и сверхсекретное название пакета случайно утечёт в интернетики в одном из моих случайных скриншотов. Злоумышленник, налюбовавшись на скриншот, заливает на pypi.org mysecretproject-99999.999.999, в итоге мой pip ставит пакет не с локалхоста, а из pypi.org — и всё, моя система скомпрометирована!

Странно это все очень. Установщики пакетов при наличии локфайлов сверяют хэшсуммы пакета. Неужели их не используют в столь продвинутых компаниях?

Sign up to leave a comment.

Other news