Для того чтобы пришли к багхантеру нужны веские доказательства, иначе будет как в анекдоте - "тогда и за изнасилование сажайте, инструмент-то есть". Тут вопрос стоит уже давно о введении в правовое поле понятия багхантер, но воз и ныне там.
Использование специальных хидеров и даже VPN не гарантирует что багхантер не расскажет о логике уязвимости. А вопрос приватности багхантера (раскрытие его данных для правоохранительных органов) сейчас лежит на стороне площадки, только на площадке могут знать/увязать реальные данные багхантера (и то, если он не оформляет выплаты на третье лицо, что никак не подтвердить) так что проблема скорее надуманная, реальные кейсы мне не встречались, что все равно не отменяет необходимости легализации багхантинга.
Не всегда. На площадках размещения программ, например bugbounty.ru, где и собираются багхантеры, каждая программа анонсируется и видна исследователям, внешний маркетинг и реклама это дополнительные внешние факторы.
Я указал это в статье - "вымогательство вознаграждений".
Провести внутреннее тестирование. Провести тестирование автоматизированными средствами. Провести пентест. Запустить приватную программу (ограничение по участникам, либо депозитную систему (нанимаете пул хантеров за фиксированную цену - они приносят все что находят)). Запускаете публичную программу.
У меня чувство deja vu: https://habr.com/ru/post/336596/. Такое ощущение что был потерян пласт знаний и сейчас потомки по крупицам воссоздают информацию о netcat, aircrack-ng и прочем.
09.05.21 сдал багу, 04.11.21 они ее закрыли после длительной переписки с абсолютно непонимающим саппортом. В HoF добавили, про вознаграждение я даже не стал им писать.
На нашей прошлой платформе их было всего несколько сотен, это немного. Вероятно, просто их экспертиза исчерпала себя.
На какой платформе если не секрет? Для многих хантеров "старая" (а год это старая) программа = все вычистили до нас, а учитывая
Средний размер вознаграждения составлял примерно 423$.
это нецелесообразная трата времени и сил. Да и просто могло быть неинтересно.
Хостинг-платформа - довольно специфичный сервис, с регистрацией, верификацией данных и оплатой. Предоставляли ли вы исследователям полноценные аккаунты для тестирования?
Во-вторых, все наши сервисы, заявленные в программе, русскоязычные, а большая часть аудитории платформы — англоговорящие багхантеры. Скорее всего, им просто было сложно ориентироваться в наших сервисах и не так интересно.
Get on the list Leave your name and email address here and be amongst the first to receive an update when we need researchers to join us.
Хантеров на нашей новой платформе больше, и главное — они другие! А значит, новый опыт, новые инструменты, знания и новые уязвимости!
Я вам открою страшную тайну - скилловых хантеров ограниченное количество, как и методов и инструментария. Если они особо не ищут хантеров, а судя по регистрации это так, то за ними или стоит коммюнити или здесь что-то не так.
Из вашей предыдущей статьи
Перед нами стояла задача: поднять систему информационной безопасности на новый, более качественный уровень и не потратить при этом слишком много денег.
к сожалению такой подход не работает.
Выводы в конце статьи в целом верные, надеюсь в будущем сможете рассмотреть и российскую платформу - bugbounty.ru.
Описанные кем? Про внедрение js и компрометацию third-party сервисов тоже прекрасно понимаю, например почти весь js тянется с gu-st.ru и т.д., но статья не претендует объять необъятное и никто мне не платил (хотя выше в каментах свечку держали) ни за написание, ни за полноценный аудит приложения и смежных сервисов.
Вероятность уязвимостей конечно есть, но она компенсируется СЗИ/средствами мониторинга. В качестве рекомендаций я указал на возможность использования Bug Bounty программы для выявления уязвимостей, это даст дополнительную возможность выявлять баги.
Про утечку данных через сотрудника - я скорее поверю в локальную утечку через какой-нибудь МФЦ, нежели через госпортал. О внутренней утечке существуют только ничем и никак не подтвержденные слухи.
Для того чтобы пришли к багхантеру нужны веские доказательства, иначе будет как в анекдоте - "тогда и за изнасилование сажайте, инструмент-то есть". Тут вопрос стоит уже давно о введении в правовое поле понятия багхантер, но воз и ныне там.
Использование специальных хидеров и даже VPN не гарантирует что багхантер не расскажет о логике уязвимости. А вопрос приватности багхантера (раскрытие его данных для правоохранительных органов) сейчас лежит на стороне площадки, только на площадке могут знать/увязать реальные данные багхантера (и то, если он не оформляет выплаты на третье лицо, что никак не подтвердить) так что проблема скорее надуманная, реальные кейсы мне не встречались, что все равно не отменяет необходимости легализации багхантинга.
Отчеты под NDA, лучше писать нормальные, хотя бы по такому гайду: https://xakep.ru/2021/04/28/best-pentest-report/
Не всегда. На площадках размещения программ, например bugbounty.ru, где и собираются багхантеры, каждая программа анонсируется и видна исследователям, внешний маркетинг и реклама это дополнительные внешние факторы.
Я указал это в статье - "вымогательство вознаграждений".
Провести внутреннее тестирование. Провести тестирование автоматизированными средствами. Провести пентест. Запустить приватную программу (ограничение по участникам, либо депозитную систему (нанимаете пул хантеров за фиксированную цену - они приносят все что находят)). Запускаете публичную программу.
Олды помнят, даже проблемы одинаковые решали:
https://habr.com/ru/company/pentestit/blog/331406/
Всем заинтересовавшимся у Антона был целый цикл статей на эту тему: https://habr.com/ru/users/antgorka/posts/
gosuslugi.ru/security.txt
«период охлаждения» = холд?
Yubikey отличный токен, но пару ложек:
они сильно подорожали
при этом их нет в наличии.
У меня чувство deja vu: https://habr.com/ru/post/336596/. Такое ощущение что был потерян пласт знаний и сейчас потомки по крупицам воссоздают информацию о netcat, aircrack-ng и прочем.
09.05.21 сдал багу, 04.11.21 они ее закрыли после длительной переписки с абсолютно непонимающим саппортом. В HoF добавили, про вознаграждение я даже не стал им писать.
https://support.apple.com/ru-ru/HT201536
03 Nov 2021: Luka Safonov A server configuration issue was addressed.
Описание абсолютно не соответсвует зарепорченной баге.
Именно в этом наборе использовался Зауер м30 (ружье Геринга), уверен, кто-то в КБ вспомнил эту идею и модифицировал ее под космические реалии.
Идею ТП-82 взяли с «набора выживания люфтваффе»,
концепцию мультикалиберного ствола с Sauer m30
Писать нужно не в чат (это поддержка функционала, а не information security), а вот сюда: https://www.gosuslugi.ru/security.txt
На какой платформе если не секрет? Для многих хантеров "старая" (а год это старая) программа = все вычистили до нас, а учитывая
это нецелесообразная трата времени и сил. Да и просто могло быть неинтересно.
Хостинг-платформа - довольно специфичный сервис, с регистрацией, верификацией данных и оплатой. Предоставляли ли вы исследователям полноценные аккаунты для тестирования?
Я вам открою страшную тайну - скилловых хантеров ограниченное количество, как и методов и инструментария. Если они особо не ищут хантеров, а судя по регистрации это так, то за ними или стоит коммюнити или здесь что-то не так.
Из вашей предыдущей статьи
к сожалению такой подход не работает.
Выводы в конце статьи в целом верные, надеюсь в будущем сможете рассмотреть и российскую платформу - bugbounty.ru.
Описанные кем? Про внедрение js и компрометацию third-party сервисов тоже прекрасно понимаю, например почти весь js тянется с gu-st.ru и т.д., но статья не претендует объять необъятное и никто мне не платил (хотя выше в каментах свечку держали) ни за написание, ни за полноценный аудит приложения и смежных сервисов.
На самом деле интереснее даже не само приложение "госуслуг", а новое - "госключ", но их анализ выходит за рамки этой статьи.
Вероятность уязвимостей конечно есть, но она компенсируется СЗИ/средствами мониторинга. В качестве рекомендаций я указал на возможность использования Bug Bounty программы для выявления уязвимостей, это даст дополнительную возможность выявлять баги.
Про утечку данных через сотрудника - я скорее поверю в локальную утечку через какой-нибудь МФЦ, нежели через госпортал. О внутренней утечке существуют только ничем и никак не подтвержденные слухи.
Стоимость аккаунта будет слишком дорогой, проще купить готовые/с фишинга.
Я имел ввиду массовые продажи, единичные аккаунты продаются даже в мессенджере, вы правы.