Pull to refresh
  • by relevance
  • by date
  • by rating

«Яндекс» перезапустил программу вознаграждений «Охота за ошибками»

Information Security *Browsers Web services testing *IT-companies


9 июня 2021 года «Яндекс» объявил о перезапуске программы вознаграждений «Охота за ошибками». Компания увеличила выплаты до 750 тыс. рублей за уязвимость с удаленным выполнением кода, а также сделала условия для участников прозрачнее.

Так «Яндекс» решил мотивировать специалистов в области кибербезопасности искать новые уязвимости по двум направлениям — инфраструктура, веб-сервисы, и приложения, а также отдельно по "Яндекс.Браузеру". Причем подробно описанный выход из его песочницы оценивается в 370 тыс. рублей, а за базовое описание можно получить 220 тыс. рублей.
Читать дальше →
Total votes 15: ↑15 and ↓0 +15
Views 2.7K
Comments 6

Фаззинг браузера Chrome: 6000 инстансов, 50 млн вариантов в сутки

IT systems testing *Google Chrome
Компания Google раскрыла некоторые подробности, как осуществляется тестирование браузера Chrome на уязвимости. Для этого они применяют метод фаззинга (fuzz testing), то есть используют методику тестирования, при которой на вход программы подаются невалидные, непредусмотренные или случайные данные.

Идея заключается в том, чтобы протестировать максимально возможное количество вариантов. Естественно, для этого нужны серьёзные ресурсы. Для тестирования Chrome создан целый кластер серверов ClusterFuzz, состоящий из нескольких сотен виртуальных машин.
Читать дальше →
Total votes 55: ↑48 and ↓7 +41
Views 3K
Comments 25

Проверь Badoo на прочность! Месяц поиска уязвимостей

Badoo corporate blog Information Security *
Компания Badoo, вслед за своими коллегами ― крупнейшими представителями IT-индустрии, такими как Google, Facebook и Яндекс, начинает платить за найденные уязвимости. Мы объявляем конкурс «Проверь Badoo на прочность!», который стартует 19 марта и продлится ровно месяц.

Участвовать в конкурсе могут все желающие, кроме сотрудников Badoo. Каждый участник может отправить любое количество заявок.
Участники обязуются сохранять найденные уязвимости в тайне до тех пор, пока Badoo не сообщит об их исправлении в таблице заявок, но не дольше чем до 31 мая 2013 года.
Мы платим за все найденные новые уязвимости.
Уязвимости будут ранжированы от 5-й (500 фунтов стерлингов) до 1-й категории (50 фунтов стерлингов) в зависимости от их критичности. Категорию критичности определяет жюри конкурса.

К тому же у нас есть специальный приз! По итогам конкурса 3 самых активных участника получат по 1000 фунтов. Если вы нашли что-то очень серьезное, то мы можем выдать супер-премию выше 500 фунтов.
Читать дальше →
Total votes 53: ↑42 and ↓11 +31
Views 18K
Comments 46

DARPA начинает разработку систем компьютерной безопасности, способных самостоятельно находить и исправлять уязвимости

Information Security *
image

Агентство DARPA объявило о начале новой масштабной программы в формате «Grand Challenge». Цель программы Cyber Grand Challenge — создание систем компьютерной безопасности, способных автоматически анализировать и исправлять уязвимости. Сегодня этой работой занимаются эксперты высокой квалификации, и закрытие «дыр» занимает дни и месяцы. DARPA хочет сократить этот срок до часов и минут.

Системы безопасности нового поколения должны анализировать ПО и компьютерные сети, создавать патчи, тестировать и применять их без участия человека. Это звучит как фантастика, однако стоит вспомнить прошлые конкурсы в этом же формате — в 2004, 2005 и 2007 годах целью DARPA Grand Challenge стало создание полностью автономного автомобиля. В них участвовала в том числе и команда Стэнфордского университета, возглавляемая Себастьяном Труном, который продолжил работу над созданием автономного автомобиля в корпорации Google.
Читать дальше →
Total votes 26: ↑24 and ↓2 +22
Views 11K
Comments 18

Собираем в команду «Project Zero» специалистов по информационной безопасности

Google Developers corporate blog Information Security *
Translation
Безопасность продуктов — один из главных приоритетов Google. Мы по умолчанию используем надежное шифрование на базе SSL для таких сервисов, как Поиск, Gmail и Google Диск. Все данные, которыми обмениваются наши дата-центры, также зашифрованы. Но кроме безопасности наших собственных продуктов нас волнует безопасность Интернета в целом. Именно поэтому сотрудники компании уделяют большое внимание поиску уязвимостей в Сети и даже объединяют информацию о них в отчеты. В первую очередь это касается поиска ошибок типа Heartbleed.

Результаты этого небольшого и, в общем-то, стороннего проекта показались нам настолько интересными, что мы решили собрать новую команду специалистов под общим названием «Проект Ноль».

Пользуясь Интернетом, вы должны быть уверены, что никто не смог воспользоваться ошибками в коде, чтобы запустить вирус в ваш компьютер, получить доступ к закрытой информации или отследить ваши контакты. К сожалению, в мире существует немало сложных вредоносных программ, например программы под общим названием «Уязвимость нулевого дня», которые уже были использованы против борцов за права человека или в целях промышленного шпионажа. Мы считаем, что такой практике нужно положить конец, и готовы работать над решением этой проблемы.

«Проект Ноль» – это первый шаг, который станет нашим вкладом в общее дело. Наша цель – значительно сократить количество людей, пострадавших от целевых атак. Мы приглашаем на работу лучших специалистов-практиков в области исследований проблем сетевой безопасности, а они, в свою очередь, посвящают 100% своего рабочего времени повышению уровня безопасности в Интернете.
Читать дальше →
Total votes 40: ↑35 and ↓5 +30
Views 12K
Comments 8

Анализатор исходных кодов RATS

Information Security *
Одним из методов поиска уязвимостей в программном обеспечении является использование анализаторов исходных текстов. В данной посте хочу рассказать об одном из них, а именно о RATS (Rough Auditing Tool for Security). Упоминания о RATS встречались не раз в уважаемых мной источниках, а именно тут, тут и еще здесь. Однако, реального примера использования нигде не было.
Читать дальше →
Total votes 16: ↑14 and ↓2 +12
Views 9K
Comments 4

Неприкасаемый Oracle

Digital Security corporate blog Information Security *Oracle *
С 1995 г. в продуктах Oracle было найдено 3896 уязвимостей, и их количество продолжает расти. Исследовательский центр Digital Security занимается поиском проблем безопасности в системах Oracle уже почти 10 лет, найдя за это время массу всевозможных уязвимостей во всей линейке их продуктов, включая разнообразные опаснейшие архитектурные баги. Некоторые из них исправлялись вендором около 3 лет после нашего уведомления (!). Поэтому с Ораклом мы знакомы не понаслышке.

Скандал, который разразился вчера в мире немедленно после публикации и последующего удаления – по словам вице-президента и главного архитектора Oracle Эдварда Скривена (Edward Screven), запись «не отражала истинных взглядов компании на взаимоотношения с пользователями», – этой записи в блоге CSO компании Oracle Мэри Энн Дэвидсон (Mary Ann Davidson), на самом деле достаточно поучителен. В нем прекрасно проявилась вся боль вендоров, все их реальное отношение к безопасности продуктов.

Наилучшей иллюстрацией здесь мог бы быть фильм с Мэлом Гибсоном «Чего хотят женщины?» Исследователи безопасности и заказчики – внимательно прочтите, что же на самом деле думает об исследованиях главный безопасник Oracle и как на самом деле она относится к безопасности своих продуктов. При этом следует понимать, что она говорит то, что другие вендоры просто не решаются сказать. Они благодарят исследователей за найденные уязвимости, мило улыбаются заказчикам, а внутри себя тихо ненавидят и тех и других. «Не трогайте наши продукты!», «Согласно лицензии, вы не имеете право на реверс-инжиниринг!» – это дословно ее высказывания. «Отстаньте уже от нас со своей безопасностью, мы сами разберемся», – вот что на самом деле думают вендоры. И как они сами «разбираются», по три года закрывая опаснейшие архитектурные уязвимости (в частности, с аутентификацией на клиенте!), мы отлично знаем. Что интересно, особенно этим славится именно компания Oracle. И теперь неудивительно почему – при таком-то отношении ее главного безопасника. Однако все-таки дело не в Oracle – и это самое важное. Их CSO просто выразила мнение всех вендоров, сказала то, что не принято говорить открыто. Это наглядная демонстрация реального отношения всех вендоров к безопасности. Что бы кто угодно из них ни говорил, – думают они именно это.

И это страшно.

Поражает и то, что CSO Oracle не знает, что большинство уязвимостей находятся вовсе не реверсингом. Oracle может смело менять слоган со старого – «Несокрушимый» – на современный: «Неприкасаемый».

Перевод заметки Мэри Энн Дэвидсон
Total votes 74: ↑61 and ↓13 +48
Views 39K
Comments 60

Решето под названием Adobe Flash

НеоБИТ corporate blog Information Security *Adobe Flash
Пока еще широко распространенный продукт Flash Player компании Adobe печально известен своей безопасностью. Регулярно становится известно об очередной zero-day уязвимости во Flash, используемой хакерами в APT-кампаниях. 2015 год выдался особенно урожайным на такие уязвимости. Большая доля критических RCE-уязвимостей были вызваны некорректной работой с памятью: была возможна запись в освобожденную память в куче процесса Flash.

В этой статье мы поисследовали безопасность Adobe Flash и выяснили, что многие его «дыры в безопасности» — хронические, и решить их можно разве что переписыванием кода с нуля, в то время как разработчики ставят заплатку на заплатку, что, конечно, не повышает уровень безопасности. А еще мы продемонстрируем некоторые найденные нами и незакрытые на данный момент уязвимости!
Читать дальше →
Total votes 32: ↑28 and ↓4 +24
Views 22K
Comments 66

Vulners — Гугл для хакера. Как устроен лучший поисковик по уязвимостям и как им пользоваться

Журнал Хакер corporate blog Information Security *
Tutorial


Часто нужно узнать всю информацию о какой-нибудь уязвимости: насколько найденный баг критичен, есть ли готовые сплоиты, какие вендоры уже выпустили патчи, каким сканером проверить наличие бага в системе. Раньше приходилось искать вручную по десятку источников (CVEDetails, SecurityFocus, Rapid7 DB, Exploit-DB, базы уязвимостей CVE от MITRE/NIST, вендорские бюллетени) и анализировать собранные данные. Сегодня эту рутину можно (и нужно!) автоматизировать с помощью специализированных сервисов. Один из таких — Vulners, крутейший поисковик по багам, причем бесплатный и с открытым API. Посмотрим, чем он может быть нам полезен.
Читать дальше →
Total votes 45: ↑45 and ↓0 +45
Views 87K
Comments 3

Почему в Украине всё-таки есть белые хакеры

Information Security *Website development *Payment systems *Web services testing *
Эта статья будет ответом на недавнюю публикацию Владимира Таратушка.
Причин написания статьи у меня было несколько.
Первая — это показать, что белые хакеры в Украине есть. Существуют они благодаря одной из программ поощрения поиска уязвимостей, которую проводит Приватбанк.
Следующая причина — это рассказать свою success story работы с одним из крупнейшим банком Украины в рамках данной программы.
Так же я хочу показать эффективность работы такой программы на реальном примере и сподвигнуть к организации таких программ те компании, которые по каким то причинам сомневаются или не видят в них реальных плюсов.
Ну и последняя причина — показать будущим и настоящим ресёчерам, что участие в баг-баунти программах интересно, этично и материально выгодно.
Читать дальше →
Total votes 37: ↑30 and ↓7 +23
Views 18K
Comments 20

Поиск уязвимости методом фаззинга и разработка шеллкода для её эксплуатации

НеоБИТ corporate blog Information Security *Entertaining tasks CTF *
Для поиска уязвимостей все средства хороши, а чем хорош фаззинг? Ответ прост: тем, что он дает возможность проверить, как себя поведёт программа, получившая на вход заведомо некорректные (а зачастую и вообще случайные) данные, которые не всегда входят во множество тестов разработчика.

Некорректное завершение работы программы в ходе фаззинга позволяет сделать предположение о наличии уязвимости.

В этой статье мы:

  • продемонстрируем, как фаззить обработчик JSON-запросов;
  • используя фаззинг, найдём уязвимость переполнения буфера;
  • напишем шеллкод на Ассемблере для эксплуатации найденной уязвимости.

Разбирать будем на примере исходных данных задания прошлого NeoQUEST. Известно, что 64-хбитный Linux-сервер обрабатывает запросы в формате JSON, которые заканчиваются нуль-терминатором (символом с кодом 0). Для получения ключа требуется отправить запрос с верным паролем, при этом доступа к исходным кодам и к бинарнику серверного процесса нет, даны только IP-адрес и порт. В легенде к заданию также было указано, что MD5-хеш правильного пароля содержится где-то в памяти процесса после следующих 5 символов: «hash:». А для того, чтобы вытащить пароль из памяти процесса, необходима возможность удалённого исполнения кода.
Читать дальше →
Total votes 41: ↑38 and ↓3 +35
Views 20K
Comments 6

Тест на проникновение с помощью Metasploit Framework: базовое руководство для системного администратора

Эшелон corporate blog Information Security *
Tutorial

Редко кто из экспертов, специализирующихся на тестировании защищенности, сталкивался с ситуацией, когда не смог полностью скомпрометировать сеть в ходе внутреннего тестирования на проникновение. Причем причины успехов этичных хакеров банальны: слабые пароли, отсутствие критичных обновлений безопасности, ошибки конфигурации. Возникает вопрос: если причины незащищенности такие тривиальные, можно ли разработать перечень ключевых проверок, которые мог бы провести системный администратор самостоятельно и есть ли единый инструмент, позволяющий это реализовать? Попробуем разобраться.


Читать дальше →
Total votes 16: ↑16 and ↓0 +16
Views 72K
Comments 12

Взломал дрон — получи бабки: DJI платит хакерам за найденные уязвимости

CopterTime corporate blog Gadgets Video equipment Multicopters
image

Мировой лидер производства дронов DJI объявил о том, что готов заплатить от 100 долларов до 30000 долларов за найденные «уязвимости». Пока сайт с подробным описанием «охоты за багами» в разработке, писать о найденных дырах надо писать на почту — bugbounty@dji.com

Директор по техническим стандартам DJI Уолтер Стоквел сказал, что вместо того, чтобы бороться с хакерами, нужно использовать их наработки и достижения, чтобы совместно двигаться к общей цели в рамках миссии компании.

«Я уверен, монсеньор, наконец-то, понял.»
— «Святые из трущоб»

На самом деле руководство DJI зашевелилось после нескольких громких косяков с киберуязвимостями и «баном» со стороны американских военных.
Читать дальше →
Total votes 7: ↑7 and ↓0 +7
Views 3.8K
Comments 6

Примите участие в публичном тестировании сервиса Positive Technologies по поиску уязвимостей на сайтах

Positive Technologies corporate blog Information Security *


Компания Positive Technologies предлагает пользователям Хабра поучаствовать в финальном этапе публичного тестирования бесплатного онлайн-сервиса для поиска уязвимостей в веб-приложениях PT BlackBox Scanner.
Читать дальше →
Total votes 13: ↑13 and ↓0 +13
Views 2.9K
Comments 16

О статическом анализе начистоту

Ростелеком-Солар corporate blog Information Security *IT systems testing *Perfect code *Mobile applications testing *
Последнее время все чаще говорят о статическом анализе как одном из важных средств обеспечения качества разрабатываемых программных продуктов, особенно с точки зрения безопасности. Статический анализ позволяет находить уязвимости и другие ошибки, его можно использовать в процессе разработки, интегрируя в настроенные процессы. Однако в связи с его применением возникает много вопросов. Чем отличаются платные и бесплатные инструменты? Почему недостаточно использовать линтер? В конце концов, при чем тут статистика? Попробуем разобраться.


Читать дальше →
Total votes 40: ↑36 and ↓4 +32
Views 9.8K
Comments 2

Формальная верификация на примере задачи о волке, козе и капусте

Information Security *Abnormal programming *Entertaining tasks Python *Algorithms *
Sandbox
На мой взгляд, в русскоязычном секторе интернета тематика формальной верификации освещена недостаточно, и особенно не хватает простых и наглядных примеров.

Я приведу такой пример из зарубежного источника, и дополню собственным решением известной задачи о переправе волка, козы и капусты на другую сторону реки.

Но вначале вкратце опишу, что из себя представляет формальная верификация и зачем она нужна.

Под формальной верификацией обычно понимают проверку одной программы либо алгоритма с помощью другой.

Это нужно для того, чтобы удостовериться, что поведение программы соответствует ожидаемому, а также обеспечить её безопасность.

Формальная верификация является самым мощным средством поиска и устранения уязвимостей: она позволяет найти все существующие дыры и баги в программе, либо же доказать, что их нет.
Стоит заметить, что в некоторых случаях это бывает невозможно, как например, в задаче о 8 ферзях с шириной доски 1000 клеток: всё упирается в алгоритмическую сложность либо проблему остановки.

Однако в любом случае будет получен один из трёх ответов: программа корректна, некорректна, или же — вычислить ответ не удалось.

В случае невозможности нахождения ответа, зачастую можно переработать неясные места программы, уменьшив их алгоритмическую сложность, для того чтобы получить конкретный ответ да либо нет.

А применяется формальная верификация, например, в ядре Windows и операционных системах беспилотников Darpa, для обеспечения максимального уровня защиты.

Мы будем использовать Z3Prover, очень мощный инструмент для автоматизированного доказательства теорем и решения уравнения.

Причём Z3 именно решает уравнения, а не подбирает их значения грубым брутфорсом.
Это означает, что он способен находить ответ, даже в случаях когда комбинаций входных вариантов и 10^100.

А ведь это всего лишь около дюжины входных аргументов типа Integer, и подобное зачастую встречается на практике.

Задача о 8 ферзях (Взята из англоязычного мануала).


Читать дальше →
Total votes 34: ↑33 and ↓1 +32
Views 9K
Comments 50

Создание системы формальной верификации с нуля. Часть 1: символьная виртуальная машина на PHP и Python

Decentralized networks Information Security *Abnormal programming *PHP *Python *
Формальная верификация — это проверка одной программы либо алгоритма с помощью другой.

Это один из самых мощных методов, который позволяет найти в программе все уязвимости либо же доказать, что их нет.

Более подробное описание формальной верификации можно увидеть на примере решения задачи о Волке, Козе, и капусте в моей предыдущей статье.

В этой статье я перехожу от формальной верификации задач, к программам, и опишу,
каким образом можно конвертировать их в системы формальных правил автоматически.

Для этого я написал свой аналог виртуальной машины, на символьных принципах.

Она разбирает код программы и транслирует его в систему уравнений (SMT), которую уже можно решить программным способом.

Так как информация о символьных вычислениях представлена в интернете довольно обрывочно,
я вкратце опишу что это такое.
Читать дальше →
Total votes 17: ↑13 and ↓4 +9
Views 4.5K
Comments 3

(S)SDLC, или Как сделать разработку безопаснее. Часть 1

Ростелеком-Солар corporate blog Information Security *IT systems testing *Perfect code *Product Management *
image

С каждым годом культура разработки растет, появляются новые инструменты для обеспечения качества кода и новые идеи, как эти инструменты использовать. Мы уже писали про устройство статического анализа, про то, на какие аспекты анализаторов нужно обращать внимание, и, наконец, про то, как с организационной точки зрения можно построить процесс на основе статического анализа.

Отталкиваясь от вопросов, с которыми мы часто сталкиваемся, мы описали весь процесс внедрения сканера кода в процесс безопасной разработки. Сегодня речь пойдет о том, как выбрать подходящий вам анализатор.
Читать дальше →
Total votes 8: ↑8 and ↓0 +8
Views 3.8K
Comments 0

(S)SDLC, или Как сделать разработку безопаснее. Часть 2

Ростелеком-Солар corporate blog Information Security *IT systems testing *Perfect code *Product Management *
– Наташ, а Наташ? Мы там, это… SAST внедрили.
– Мы там всё уронили, Наташ. Вообще, всё!!!
– Пайплайны стоят, очередь забита…
– Ни одной сборки не прошло! Вставай, Натаааш!




Вот так примерно можно проснуться на следующее утро после внедрения в разработку статического анализа кода. Если заранее не подготовиться к этой увлекательной процедуре.
А можно получить совсем другой, намного более позитивный и полезный для разработки и бизнеса результат. Если учесть при внедрении ряд технических нюансов SAST-анализа и вовремя подстелить соломку. Об этих нюансах сегодня и поговорим!
Читать дальше →
Total votes 11: ↑10 and ↓1 +9
Views 2.4K
Comments 0

(S)SDLC, или Как сделать разработку безопаснее. Часть 3

Ростелеком-Солар corporate blog Information Security *IT systems testing *Perfect code *Product Management *
Этой статьей мы завершим небольшой цикл о построении процесса безопасной разработки на основе SAST — статического анализа кода на безопасность. В первой части мы разобрали основные вопросы, возникающие при внедрении SAST в процесс разработки. Во второй части остановились на технических аспектах внедрения и разобрали несколько примеров выстраивания SSDLC на практике. В последней части расскажем об организационных моментах.

Для большинства компаний использование SAST — это новый процесс, а уязвимость — новая сущность. Уязвимость — это не баг и не функциональное требование, и нужно выстраивать процесс работы с новой сущностью. Нельзя забывать про историческое разделение безопасности и разработки, которое особенно обостряется, когда в процесс разработки нужно внедрять что-то новое. Масла в огонь подливают и технические особенности статического анализа, о которых мы говорили во второй части.

Читать дальше →
Total votes 17: ↑17 and ↓0 +17
Views 3.2K
Comments 0
1