Таким образом вы не только внесёте ясность для своих сотрудников, но и сделаете свой вклад в стандартизацию понимания должностей отрасли в целом.
Тут возникает этически-экономический вопрос: а зачем? Вы и так знаете уровень своего сотрудника, его сильные и слабые стороны. Конкуренты же будут приятно удивлены, узнав, что можно нанять ведущего старшего синьора разработки софтверного ПО так быстро и выгодно
Сохраняя осмысленность званий, они привлекают лучших специалистов, ценящих истинный рост, а не громкие титулы.
Определённо, настоящий сеньор пойдёт работать ведущим инженером по разработке ПО за 100 рублей, а не сеньором-наставником за 150, ведь первое отражает его настоящие навыки
методично и последовательно загружал специальные Pickle-файлы со скрытым кодом, который был полон вирусов и вредоносных компонентов. Код в таких скриптах выполняется рандомно и автоматически, поэтому никто не мог понять, почему все усилия команды не приносят должной стабилизации;
Здесь уже возникает другой вопрос: если он реально внедрял вирусы и вредоносные компоненты, то почему он ещё не сидит? Здесь есть явные признаки злонамеренного хакерства, которое причинило реальный ущерб. Скорее всего, почти везде есть вполне себе уголовные статьи за подобные действия
Или ByteDance явно говорит, что вы можете нас ломать, мы не будем ничего делать? Если так, то возникают вопросы к инфобезу и внутренней безопасности
Теперь их не придётся докупать отдельно: они стали частью базовой подписки.
Повышать цены - вполне нормально, не надо стесняться писать об этом прямо. При повышении зарплаты же никто не говорит «Ой, а теперь, даже если мне не заплатят премию отдельно, эти же деньги уже являются частью моей базовой зарплаты», а говорят прямо
Сейчас же пост выглядит либо как то, что яндексоиды очень не уверены в качестве своего базового продукта, поэтому пытаются сдобрить его ненужными сервисами (кому нужны - те сами подключить вполне могут), либо кто-то зачем-то пытается избежать формулировок про повышение цены. И то, и другое выглядит так себе
Меня больше всего интересует в такой ситуации следующее: у человека в такой компании обычно есть уникальные возможности попробовать новое, изучить интересные решения (почему так сделано, как до этого дошли, для чего делали именно так), попробовать очень дорогие специфичные инструменты, пообщаться с крутыми интересными людьми. Но при этом довольно часто появляются такие кадры.
Это происходит из-за того, что человек попадает в среду, где можно ничего не делать (один отдел работает до упора, а другой думает, чем занять время между завтраком, обедом, полдником и массажем)? Или это такое управление, когда нанимают JSONоперекладчиком, запрещают делать что-то другое и бьют за попытки узнать что-то новое?
Микроблогеры местами - это очень странное явление. Я смотрел как-то отчёты по рекламе как раз у таких, сфера была в целом даже близкой к доставке еды. Но результаты максимально странные: у кого-то идеально ровное число просмотров, у кого-то гора просмотров и аномально мало переходов, у кого-то аномально много переходов и тотальное отсутствие реальных действий. И при этом были горы проблем в стиле «Не написали пост, не прикрепили ссылку, перепутали то, что рекламировать (!), удалили через час после публикации»
Микроблогеры могут быть решением части проблем, но у них очень много сюрпризов бывает
Имхо, найм не сломан, он просто такой, какой он есть, при существующих вводных. А вот вводные уже интересные, например:
Достаточно многим руководителям интереснее симулировать поиск сотрудников, чем реально искать: так можно показывать превозмогание и получать ништяки (смотрите, у нас не хватает аж 4 разработчиков, но мы почти вовремя выкатили продукт, дайте премию и закройте глаза на то, что он кривой, людей же не хватает). Плюс процесс найма реально требует много сил и внимания
Многие собеседующие собеседуют только потому, что для получения премии надо провести 3 собеседования в неделю, например. Зачем такому человеку вообще погружаться в какие-то знания кандидата? Проще завалить, а если придет реальная звезда - так и быть, пропустить его
Рекрутеры тоже часто симулируют работу, зачем думать и реально находить кандидатов, когда можно сидеть и жаловаться, что на рынке нет людей
Появится ИИ в процессе найма - эти же проблемы останутся, просто перейдут в другую форму. Причины почти всех рабочих проблем можно достаточно хорошо понять, если просто оценить, кто и в чем заинтересован
Компании не существуют сами по себе, даже в больших организациях решения принимают вполне конкретные люди: если сотрудник не получает больше негативных для себя последствий, чем позитивных, за то, что перестал общаться с ненужным кандидатом, а руководитель это не контролирует и не раздаёт наказания, то зачем ему делать лишнюю работу?
Плюс в найме сотрудников можно оценить стоимость любого действия (тот же пресловутый фидбек после собеседований - это весьма дорогое удовольствие, если честно считать его стоимость), а вот хороших расчетов, которые показывали бы пользу и выгоду от хорошего общения с кандидатами я не встречал. Видел только статьи про все хорошее против всего плохого
Важный момент: BugBounty - это продажа уязвимостей за нефиксированную сумму, которую еще и не факт, что выплатят. Можно потратить много времени на поиск чего-то интересного, а в ответ получить: 1. 50$, так как это некритичная уязвимость 2. Ничего, так как это уже нашел другой исследователь 3. Ничего, так как это похоже на другую уязвимость 4. Ничего, так как это похоже на задачу из внутреннего беклога на 2028 год 5. Ничего, так как данные раскрыл подрядчик, хотя это полная БД компании 6. Ничего, так как этот домен не входит в программу, хотя там лежит полная БД компании 7. Ничего, так как компания резко перестала отвечать на платформе 8. Ничего, так как сотрудник платформы оказался настолько неграмотным и тупым, что не смог прочитать текст, воспроизвести уязвимость, и в итоге его начинает прикрывать руководство, чтобы не выглядеть совсем глупо
В 2015 году Кемил Хисматуллин обнаружил уязвимость в YouTube, которая позволяла удалять любые видео на платформе. Google признала это значительным вкладом в безопасность их сервисов и выплатила специалисту $5000.
Иными словами, за достаточно серьезную уязвимость, которую человек искал весьма долго (плюс по ссылке описание другой уязвимости, там в самом конце ссылка на человека, который нашел возможность удаления видео), и которая позволяла смотреть приватные видео (!) человек получил что-то в районе недельной зарплаты разработчика, который это все кодил, или даже меньше
Мой рекорд - за доступ к письмам пользователей одного из крупных почтовых сервисов - полупрозрачная футболка и набор канцелярии
BugBounty все еще очень хороший инструмент для того, чтобы скидывать туда дешевые уязвимости, получая приятные бонусы. Да, можно потратить много времени и раскопать что-то крутое, получить много денег, известность, а потом это как-то развить. Или за ночь найти уязвимость и получить годовой доход. Но надо понимать, что такие случаи единичные, а багхнеров толпы. Это не сказочный мир из условного 2014 года, когда после запуска nmap и простого скрипта на Питоне подбегали представители разных компаний и засовывали в карманы деньги, благодаря за крутую работу
Требуется очень хорошая оценка навыков, целей, желаний и других возможностей, чтобы не разочароваться и не загрустить
Написано в служебной инструкции, что какие-то данные нельзя разглашать, но вам кто-то из сотрудников их рассказал за кружкой пива - баг-баунти выплачивать теперь? Как такой "баг" воспроизводить и фиксить?
Тут есть технический и организационный момент
Если сотрудник реально рассказал что-то за пивом, то это одна история. Но чаще - это различные файлы, доступные снаружи. И тут уже много вопросов:
Как файл прошёл мимо DLP, плохо работают фильтры? Или его выгрузили по другому каналу?
Используется неизвестный внешний сервис для обработки данных? А как туда данные завели, почему средства защиты не обнаружили обращения туда и передачу данных
В утёкших файлах не было паролей от других систем? А их точно все сменили?
А почему в рабочих чатах куча левых людей, которые раньше были связаны с компанией? Почему при этом там лежат выгрузки по клиентам?
Почему сотрудник использует для заметок с паролями открытый ТГ-канал?
И это все - примеры находок за последнее время. И каждой из проблем вполне себе соответсвует некий технический или организационный «баг», который можно исправлять, чтобы такие ситуации происходили существенно реже
А организационный вопрос в том, что одна из задач Bug Bounty - создать альтернативу продаже уязвимостей или способов нанесения ущерба компании на чёрный рынок. Поэтому, если руководитель по безопасности готов выйти к руководству компании или на публику и сказать, что он осознанно принял решение не платить за условные утёкшие пароли, так как это не технические уязвимости, в результате этот пароль нашли и украли деньги/данные/зашифровали инфраструктуру, то ОК, подход одинаковый, хотя и неоднозначный. Человек готов сказать, что принял на себя риски, и они внезапно сработали
И есть отдельная интересная ситуация, связанная с маркетингом многих платформ (тут я бы сказал, что зарубежные в этом плане находятся в гораздо более плохом состоянии, чем отечественные):
Маркетологи, которые приходят к клиентам, рассказывают, что Bug Bounty - это прямо эталонный способ обеспечить безопасность, толпа людей проверит все возможные уязвимости, ведь у всех своя методика, а платить надо только за подтвержденные, да еще и столько, сколько сами решите и только за интересные цели (а в более приватных презентациях рассказывается, что если не попрет или будет очень много уязвимостей, то программу можно быстро прикрыть и не платить слишком много)
А маркетологи, которые приходят к исследователям, рассказывают, что выплаты за уязвимости очень большие, программ новых много, а если найдете что-то не в списке целей программы, то все равно можно отправлять, за хорошее заплатят
И периодически сталкиваются люди, которым рассказывали, что им будут платить почти за все, с людьми, которым рассказывали, что можно почти ни за что не платить
Bug Bounty - это прямо почти самая моя любимая тема для споров в ИБ
Начну с конкретного и перейду к абстрактному:
> Помимо колоссального увеличения программ — почти на 60%, также произошло общерыночное повышение цен, а максимально возможное вознаграждения по итогу выросла в 2 раза.
Так получилось, что я принимал участие в одной из программ, которая была представлена сначала на HackerOne, а потом на отечественной платформе. И получилось так, что максимальное вознаграждение выросло настолько, что сейчас максимальная выплата в рамках этого проекта примерно в 4 раза меньше, чем я получил от него же на старой платформе (не максимальную), а выплата за ту категорию, за которую я получил вознаграждение ранее - в 8 раз меньше. Действительно знатное и мотивирующее повышение
Поэтому надо оценивать картину целиком, вознаграждения на отдельных проектах за отдельные категории уязвимостей действительно могли вырасти, но часто общая картина гораздо менее радужная
В том числе и поэтому многие люди "держат" те уязвимости, которые найти непросто. Условно, зачем сдавать что-то за 50 тысяч, когда велика вероятность, что расценки на уязвимости вырастут (понятно, что есть элемент риска, что кто-то закроет ее, но тут вопрос опыта и оценок)
И абстрактная проблема, связанная с очень многими программами от разных компаний: очень часто программы сосредотачиваются именно на технических уязвимостях, не принимая косяки или проблемы в процессах . Иногда доходит до смешного:
Нашел корявую XSS на не очень важном сервисе - держи деньги. Нашел способ вскрывать практически любой аккаунт из-за неправильного процесса - держите заслуженный 0, технической проблемы на нашей стороне нет, Bug Bounty неприменимо
Нашел IDOR на сервисе с новостями - держи деньги. Нашел дурачка-менеджера, который выгрузил в свой открытый ТГ-канал с заметками архив с базой всех клиентов компании - держи 0, технической проблемы нет
И местами получается комичная ситуация, что если хочешь зарабатывать именно на программах, тогда есть смысл прикладывать усилия к поиску технических проблем, когда рядом есть очевидно более простые и опасные нетехнические, которые проще найти и эксплуатировать. Довольно сложно сказать злоумышленнику, что у компании есть какие-то Bug Bounty Rules and target policies, в которых указано, что он должен ломать только определенные сервисы и не использовать украденные пароли, которые у него есть в огромном количестве
Поэтому я очень ценю программы, в которых оценивается именно влияние находки, а не формальные признаки, и надеюсь, что таких станет больше
Gemini автоматически обрабатывает даже личные документы, которые я открываю в Google Docs?
Нет, он не обрабатывает личные документы в Гугл Диске. В Гугл Диске нет личных документов, все, что люди туда загружают, потенциально доступно очень неограниченному кругу лиц и ИИ-систем. В соглашении с Гуглом, скорее всего, нигде нет пункта о том, что данные пользователей железно их, и не будут доступны никому без согласия владельца
За удобство и возможность доступа к файлам откуда угодно человек расплачивается такими же возможностями по удобному доступу к его файлам откуда угодно и кому угодно. И я не особо уверен, что человек даже является владельцам файлов в облаке по соглашению с большинством облаков
Поэтому, имхо, такие жалобы в стиле "Мои файлы в интернете кто-то использует без моего ведома" правильнее рассматривать не в стиле "Компания обнаглела, как так можно", а в стиле "Технологически и юридически некомпетентный человек сделал ерунду и ноет, не надо так делать, делайте Х или делайте что хотите и оценивайте последствия"
Сочувствие таким людям приводит к тому, что другие могут начать думать, что им почему-то кто-то по умолчанию должен то, что им никто не обещал и не гарантировал
Насколько я вижу, результаты реально очень хорошие, как минимум, вот эта уязвимость выглядит критичной и интересной:
Incorrect access control in the account management function of web interface in Aten PE6208 2.3.228 and 2.4.232 allows remote authenticated users to read user and administrator accounts passwords via HTTP GET request.
Расскажите, пожалуйста, более подробно о технических деталях: как искали, что интересное в процессе было, может быть, какие-то советы от специалистов. Иначе выглядит так, словно реально классные результаты, детали которых было бы интересно разобрать, превратили в маркетинговый материал "Наши специалисты крутые, покупайте услуги"
Из интересного - по таблицам видно, что самооценка и оценка от других в «Скрытых возможностях» и в «Слепых пятнах» отличаются примерно на 0.10-0.15 балла. Я не уверен, что смогу оценить хотя бы какие-то навыки человека с такой точностью
И почему это важно: в подобных опросах оценки часто выставляются довольно случайным образом. А разница между 2 и 3 баллами может значительно повлиять на средний балл. И вот, пара чуть-чуть других оценок, и вы уже переоцениваете свои навыки коммуникации и недооцениваете навыки Битрикса, план обучения сильно меняется, хотя причина этого - субъективное мнение человека, который не факт, что глубоко задумывался о точном значении оценки
А ведь есть еще отдельный вопрос - а как оценивают разные люди? Для кого-то хорошие навыки - это нормальный результат, то есть, средний. А для кого-то такие же навыки - нормальный результат, то есть отличный
В инфобизнесе можно набить только свои шишки. Не нужно питать лишних иллюзий, что если у Аяза получилось, то получиться и у меня.
Целый пул обиженных на Аяза людей привёл его к его аресту. Ни миллионные, ни полумиллионные образовательные программы не гарантирую вам успеха. Если вы не будете сами пахать 24/7 и совершать действия. Сто раз ошибиться, встать и на 101 раз и взлететь.
Надо хорошо понимать, что есть два очень разных подхода: «Есть что продавать» и «Продавать что есть». Если посмотреть на историю продаж многих массовых продуктов, то там нет поиска решения проблемы человека, там есть попытка убедить человека, что у него есть проблема, которую решает курс. Курс про масштабирование - значит, мыслите мелко. Курс про делегирование - значит, боитесь отдать ответственность
Успех многих авторов курсов на в том, что они смогли предложить решение проблемы тысячам людей и заработать миллионы, а в том, что убедили эти тысячи людей купить непонятной полезности продукт. Если человек пашет и делает 100 попыток, чтобы создать что-то достойное и работающее, то это здорово. Но если он пашет и 100 раз пытается продать один и тот же нерабочий продукт, то его успех - это скорее печальное исключение из череды ожидаемых неудач, чем достойный уважения результат упорного труда
И нет ничего плохого в обиде на того, кто сделал что-то, что тебе не понравилось. Это вполне нормальная реакция здорового человека, обижаться - нормально и не стыдно
Вот мы и подошли к ответу на вопрос «Кто виноват?». IT-индустрия отчасти сама окутала себя репутацией, будто здесь легко работать и много платят. Маркетинг онлайн-курсов подхватил эти стереотипы и в погоне за продажами начал формировать у аудитории некорректные ожидания — например, высокую зарплату на старте или гарантированное трудоустройство. В результате люди стали воспринимать онлайн-курсы, как прямой билет в IT, а индустрия получила рынок труда с большим количеством низкоквалифицированных специалистов, которые оказались никому не нужны.
Неопытному студенту онлайн-курса может показаться, что нужно просто добросовестно выполнять задания и получать пятерки, а в конце написать об этом в резюме и найти работу. На самом деле, он будет вряд ли интересен эйчарам, которые отсматривают десятки подобных резюме.
Имхо, вот эти абзацы - просто золото этой статьи
То есть, оказывается, что если человек платит немалые деньги за курс, добросовестно выполняет задания на нем (то есть буквально делает все, говорят делать авторы курса), потом пишет об этом в резюме, а после - систематически не может найти работу, то виноваты не авторы курса, которые склепали мусор, откровенно говоря, а маркетинг? И даже не в той части, что продаёт откровенный мусор, а в той, что формирует некорректные ожидания?
Маркетинг, авторы и преподаватели сидят в одной лодке, невозможно замараться только кому-то одному. Плохой курс - имей уважение к себе, не продавай его. Продавцы привели не тех студентов - имей уважение к себе, объясни им ситуацию и преподавай оставшимся, либо уходи. Не хватает материала - добавьте и скажите об этом прямо. Не знаете, как искать работу потом - скажите студентам прямо, что учите их основам, но по статистике почти никто работу не находит после этого
Но обвинять студентов в том, что-то не так делают, когда они добросовестно выполняют все задания, не надо. Это все равно, что врач бы говорил пациенту, что он дурачок и пил лекарства, которые он ему и прописал, а не лечился правильно
Кто-то неправильно понимает, как использовать методологию, где она применима и зачем нужна. Это не так плохо, можно учиться и пытаться научить людей
Кто-то хорошо понимает, что он неправильно что-то применяет. И делает это очень осознанно, так как это позволяет получать зарплаты/премии, руководить все большими коллективами, выступать на мероприятиях, писать статьи и книги. Практически вокруг любого бизнеса появляется толпа людей, которые хотят отщипнуть себе деньги, как только они появляются. В ИТ и в управлении проектами сейчас просто безумное количество денег, и неудивительно, что рядом летают те, кто их хочет. В такой ситуации практически бесполезно писать статьи о том, почему «ХХХ - плохая технология/методология», важно четко понимать, что именно и зачем вы делаете
Поэтому важно понимать, с кем вы работаете - с человеком, который делает что-то по ошибке, либо с тем, кто зарабатывает на этом деньги
Боюсь, что причина отсутствия таких статей очень простая - скорее всего, таких результатов нет. Если кто-то может предложить какой-то процесс, который даст проверяемый повторяемый хороший результат, то он может очень надолго забыть о написании однообразных статей на Хабр. Люди будут бежать, требовать и выбивать такие услуги себе. А наличие времени на такие статьи каждый день - такой себе знак
В марте 2019 года Икономов обратился в Пресненский районный суд Москвы с просьбой запретить Apple продавать iPhone с функцией «Экстренный вызов–SOS». Он заявил, что компания нарушает его права, незаконно используя в них полезную модель по его патенту. Также истец требовал обязать компанию изъять из оборота подобные мобильные устройства и уничтожить их.
Мне смешно и грустно с этого. Казалось бы, честно придумал подход, который действительно спасает множество жизней каждый день - радуйся и гордись. Мало кому удаётся сделать что-то подобное за всю жизнь. Не придумал - сиди и молчи. Но нет, надо полезть и требовать запретить применение реально полезной технологии, чтобы именно этим и прославиться
Надеюсь на иск в его сторону за попытку осознанно затруднить людям получение экстренной помощи (тут вопрос к юристам, подходят ли такие действия под какую-то статью или нет)
Тут возникает этически-экономический вопрос: а зачем? Вы и так знаете уровень своего сотрудника, его сильные и слабые стороны. Конкуренты же будут приятно удивлены, узнав, что можно нанять ведущего старшего синьора разработки софтверного ПО так быстро и выгодно
Определённо, настоящий сеньор пойдёт работать ведущим инженером по разработке ПО за 100 рублей, а не сеньором-наставником за 150, ведь первое отражает его настоящие навыки
Здесь уже возникает другой вопрос: если он реально внедрял вирусы и вредоносные компоненты, то почему он ещё не сидит? Здесь есть явные признаки злонамеренного хакерства, которое причинило реальный ущерб. Скорее всего, почти везде есть вполне себе уголовные статьи за подобные действия
Или ByteDance явно говорит, что вы можете нас ломать, мы не будем ничего делать? Если так, то возникают вопросы к инфобезу и внутренней безопасности
Повышать цены - вполне нормально, не надо стесняться писать об этом прямо. При повышении зарплаты же никто не говорит «Ой, а теперь, даже если мне не заплатят премию отдельно, эти же деньги уже являются частью моей базовой зарплаты», а говорят прямо
Сейчас же пост выглядит либо как то, что яндексоиды очень не уверены в качестве своего базового продукта, поэтому пытаются сдобрить его ненужными сервисами (кому нужны - те сами подключить вполне могут), либо кто-то зачем-то пытается избежать формулировок про повышение цены. И то, и другое выглядит так себе
Меня больше всего интересует в такой ситуации следующее: у человека в такой компании обычно есть уникальные возможности попробовать новое, изучить интересные решения (почему так сделано, как до этого дошли, для чего делали именно так), попробовать очень дорогие специфичные инструменты, пообщаться с крутыми интересными людьми. Но при этом довольно часто появляются такие кадры.
Это происходит из-за того, что человек попадает в среду, где можно ничего не делать (один отдел работает до упора, а другой думает, чем занять время между завтраком, обедом, полдником и массажем)? Или это такое управление, когда нанимают JSONоперекладчиком, запрещают делать что-то другое и бьют за попытки узнать что-то новое?
Микроблогеры местами - это очень странное явление. Я смотрел как-то отчёты по рекламе как раз у таких, сфера была в целом даже близкой к доставке еды. Но результаты максимально странные: у кого-то идеально ровное число просмотров, у кого-то гора просмотров и аномально мало переходов, у кого-то аномально много переходов и тотальное отсутствие реальных действий. И при этом были горы проблем в стиле «Не написали пост, не прикрепили ссылку, перепутали то, что рекламировать (!), удалили через час после публикации»
Микроблогеры могут быть решением части проблем, но у них очень много сюрпризов бывает
Имхо, найм не сломан, он просто такой, какой он есть, при существующих вводных. А вот вводные уже интересные, например:
Достаточно многим руководителям интереснее симулировать поиск сотрудников, чем реально искать: так можно показывать превозмогание и получать ништяки (смотрите, у нас не хватает аж 4 разработчиков, но мы почти вовремя выкатили продукт, дайте премию и закройте глаза на то, что он кривой, людей же не хватает). Плюс процесс найма реально требует много сил и внимания
Многие собеседующие собеседуют только потому, что для получения премии надо провести 3 собеседования в неделю, например. Зачем такому человеку вообще погружаться в какие-то знания кандидата? Проще завалить, а если придет реальная звезда - так и быть, пропустить его
Рекрутеры тоже часто симулируют работу, зачем думать и реально находить кандидатов, когда можно сидеть и жаловаться, что на рынке нет людей
Появится ИИ в процессе найма - эти же проблемы останутся, просто перейдут в другую форму. Причины почти всех рабочих проблем можно достаточно хорошо понять, если просто оценить, кто и в чем заинтересован
Да, без этих способов оплаты сейчас нельзя запускать магазин, основной канал оплаты, все же :)
Компании не существуют сами по себе, даже в больших организациях решения принимают вполне конкретные люди: если сотрудник не получает больше негативных для себя последствий, чем позитивных, за то, что перестал общаться с ненужным кандидатом, а руководитель это не контролирует и не раздаёт наказания, то зачем ему делать лишнюю работу?
Плюс в найме сотрудников можно оценить стоимость любого действия (тот же пресловутый фидбек после собеседований - это весьма дорогое удовольствие, если честно считать его стоимость), а вот хороших расчетов, которые показывали бы пользу и выгоду от хорошего общения с кандидатами я не встречал. Видел только статьи про все хорошее против всего плохого
Важный момент: BugBounty - это продажа уязвимостей за нефиксированную сумму, которую еще и не факт, что выплатят. Можно потратить много времени на поиск чего-то интересного, а в ответ получить:
1. 50$, так как это некритичная уязвимость
2. Ничего, так как это уже нашел другой исследователь
3. Ничего, так как это похоже на другую уязвимость
4. Ничего, так как это похоже на задачу из внутреннего беклога на 2028 год
5. Ничего, так как данные раскрыл подрядчик, хотя это полная БД компании
6. Ничего, так как этот домен не входит в программу, хотя там лежит полная БД компании
7. Ничего, так как компания резко перестала отвечать на платформе
8. Ничего, так как сотрудник платформы оказался настолько неграмотным и тупым, что не смог прочитать текст, воспроизвести уязвимость, и в итоге его начинает прикрывать руководство, чтобы не выглядеть совсем глупо
Иными словами, за достаточно серьезную уязвимость, которую человек искал весьма долго (плюс по ссылке описание другой уязвимости, там в самом конце ссылка на человека, который нашел возможность удаления видео), и которая позволяла смотреть приватные видео (!) человек получил что-то в районе недельной зарплаты разработчика, который это все кодил, или даже меньше
Мой рекорд - за доступ к письмам пользователей одного из крупных почтовых сервисов - полупрозрачная футболка и набор канцелярии
BugBounty все еще очень хороший инструмент для того, чтобы скидывать туда дешевые уязвимости, получая приятные бонусы. Да, можно потратить много времени и раскопать что-то крутое, получить много денег, известность, а потом это как-то развить. Или за ночь найти уязвимость и получить годовой доход. Но надо понимать, что такие случаи единичные, а багхнеров толпы. Это не сказочный мир из условного 2014 года, когда после запуска nmap и простого скрипта на Питоне подбегали представители разных компаний и засовывали в карманы деньги, благодаря за крутую работу
Требуется очень хорошая оценка навыков, целей, желаний и других возможностей, чтобы не разочароваться и не загрустить
Тут есть технический и организационный момент
Если сотрудник реально рассказал что-то за пивом, то это одна история. Но чаще - это различные файлы, доступные снаружи. И тут уже много вопросов:
Как файл прошёл мимо DLP, плохо работают фильтры? Или его выгрузили по другому каналу?
Используется неизвестный внешний сервис для обработки данных? А как туда данные завели, почему средства защиты не обнаружили обращения туда и передачу данных
В утёкших файлах не было паролей от других систем? А их точно все сменили?
А почему в рабочих чатах куча левых людей, которые раньше были связаны с компанией? Почему при этом там лежат выгрузки по клиентам?
Почему сотрудник использует для заметок с паролями открытый ТГ-канал?
И это все - примеры находок за последнее время. И каждой из проблем вполне себе соответсвует некий технический или организационный «баг», который можно исправлять, чтобы такие ситуации происходили существенно реже
А организационный вопрос в том, что одна из задач Bug Bounty - создать альтернативу продаже уязвимостей или способов нанесения ущерба компании на чёрный рынок. Поэтому, если руководитель по безопасности готов выйти к руководству компании или на публику и сказать, что он осознанно принял решение не платить за условные утёкшие пароли, так как это не технические уязвимости, в результате этот пароль нашли и украли деньги/данные/зашифровали инфраструктуру, то ОК, подход одинаковый, хотя и неоднозначный. Человек готов сказать, что принял на себя риски, и они внезапно сработали
И есть отдельная интересная ситуация, связанная с маркетингом многих платформ (тут я бы сказал, что зарубежные в этом плане находятся в гораздо более плохом состоянии, чем отечественные):
Маркетологи, которые приходят к клиентам, рассказывают, что Bug Bounty - это прямо эталонный способ обеспечить безопасность, толпа людей проверит все возможные уязвимости, ведь у всех своя методика, а платить надо только за подтвержденные, да еще и столько, сколько сами решите и только за интересные цели (а в более приватных презентациях рассказывается, что если не попрет или будет очень много уязвимостей, то программу можно быстро прикрыть и не платить слишком много)
А маркетологи, которые приходят к исследователям, рассказывают, что выплаты за уязвимости очень большие, программ новых много, а если найдете что-то не в списке целей программы, то все равно можно отправлять, за хорошее заплатят
И периодически сталкиваются люди, которым рассказывали, что им будут платить почти за все, с людьми, которым рассказывали, что можно почти ни за что не платить
Bug Bounty - это прямо почти самая моя любимая тема для споров в ИБ
Начну с конкретного и перейду к абстрактному:
> Помимо колоссального увеличения программ — почти на 60%, также произошло общерыночное повышение цен, а максимально возможное вознаграждения по итогу выросла в 2 раза.
Так получилось, что я принимал участие в одной из программ, которая была представлена сначала на HackerOne, а потом на отечественной платформе. И получилось так, что максимальное вознаграждение выросло настолько, что сейчас максимальная выплата в рамках этого проекта примерно в 4 раза меньше, чем я получил от него же на старой платформе (не максимальную), а выплата за ту категорию, за которую я получил вознаграждение ранее - в 8 раз меньше. Действительно знатное и мотивирующее повышение
Поэтому надо оценивать картину целиком, вознаграждения на отдельных проектах за отдельные категории уязвимостей действительно могли вырасти, но часто общая картина гораздо менее радужная
В том числе и поэтому многие люди "держат" те уязвимости, которые найти непросто. Условно, зачем сдавать что-то за 50 тысяч, когда велика вероятность, что расценки на уязвимости вырастут (понятно, что есть элемент риска, что кто-то закроет ее, но тут вопрос опыта и оценок)
И абстрактная проблема, связанная с очень многими программами от разных компаний: очень часто программы сосредотачиваются именно на технических уязвимостях, не принимая косяки или проблемы в процессах . Иногда доходит до смешного:
Нашел корявую XSS на не очень важном сервисе - держи деньги. Нашел способ вскрывать практически любой аккаунт из-за неправильного процесса - держите заслуженный 0, технической проблемы на нашей стороне нет, Bug Bounty неприменимо
Нашел IDOR на сервисе с новостями - держи деньги. Нашел дурачка-менеджера, который выгрузил в свой открытый ТГ-канал с заметками архив с базой всех клиентов компании - держи 0, технической проблемы нет
И местами получается комичная ситуация, что если хочешь зарабатывать именно на программах, тогда есть смысл прикладывать усилия к поиску технических проблем, когда рядом есть очевидно более простые и опасные нетехнические, которые проще найти и эксплуатировать. Довольно сложно сказать злоумышленнику, что у компании есть какие-то Bug Bounty Rules and target policies, в которых указано, что он должен ломать только определенные сервисы и не использовать украденные пароли, которые у него есть в огромном количестве
Поэтому я очень ценю программы, в которых оценивается именно влияние находки, а не формальные признаки, и надеюсь, что таких станет больше
Нет, он не обрабатывает личные документы в Гугл Диске. В Гугл Диске нет личных документов, все, что люди туда загружают, потенциально доступно очень неограниченному кругу лиц и ИИ-систем. В соглашении с Гуглом, скорее всего, нигде нет пункта о том, что данные пользователей железно их, и не будут доступны никому без согласия владельца
За удобство и возможность доступа к файлам откуда угодно человек расплачивается такими же возможностями по удобному доступу к его файлам откуда угодно и кому угодно. И я не особо уверен, что человек даже является владельцам файлов в облаке по соглашению с большинством облаков
Поэтому, имхо, такие жалобы в стиле "Мои файлы в интернете кто-то использует без моего ведома" правильнее рассматривать не в стиле "Компания обнаглела, как так можно", а в стиле "Технологически и юридически некомпетентный человек сделал ерунду и ноет, не надо так делать, делайте Х или делайте что хотите и оценивайте последствия"
Сочувствие таким людям приводит к тому, что другие могут начать думать, что им почему-то кто-то по умолчанию должен то, что им никто не обещал и не гарантировал
Насколько я вижу, результаты реально очень хорошие, как минимум, вот эта уязвимость выглядит критичной и интересной:
Incorrect access control in the account management function of web interface in Aten PE6208 2.3.228 and 2.4.232 allows remote authenticated users to read user and administrator accounts passwords via HTTP GET request.
Расскажите, пожалуйста, более подробно о технических деталях: как искали, что интересное в процессе было, может быть, какие-то советы от специалистов. Иначе выглядит так, словно реально классные результаты, детали которых было бы интересно разобрать, превратили в маркетинговый материал "Наши специалисты крутые, покупайте услуги"
Из интересного - по таблицам видно, что самооценка и оценка от других в «Скрытых возможностях» и в «Слепых пятнах» отличаются примерно на 0.10-0.15 балла. Я не уверен, что смогу оценить хотя бы какие-то навыки человека с такой точностью
И почему это важно: в подобных опросах оценки часто выставляются довольно случайным образом. А разница между 2 и 3 баллами может значительно повлиять на средний балл. И вот, пара чуть-чуть других оценок, и вы уже переоцениваете свои навыки коммуникации и недооцениваете навыки Битрикса, план обучения сильно меняется, хотя причина этого - субъективное мнение человека, который не факт, что глубоко задумывался о точном значении оценки
А ведь есть еще отдельный вопрос - а как оценивают разные люди? Для кого-то хорошие навыки - это нормальный результат, то есть, средний. А для кого-то такие же навыки - нормальный результат, то есть отличный
Надо хорошо понимать, что есть два очень разных подхода: «Есть что продавать» и «Продавать что есть». Если посмотреть на историю продаж многих массовых продуктов, то там нет поиска решения проблемы человека, там есть попытка убедить человека, что у него есть проблема, которую решает курс. Курс про масштабирование - значит, мыслите мелко. Курс про делегирование - значит, боитесь отдать ответственность
Успех многих авторов курсов на в том, что они смогли предложить решение проблемы тысячам людей и заработать миллионы, а в том, что убедили эти тысячи людей купить непонятной полезности продукт. Если человек пашет и делает 100 попыток, чтобы создать что-то достойное и работающее, то это здорово. Но если он пашет и 100 раз пытается продать один и тот же нерабочий продукт, то его успех - это скорее печальное исключение из череды ожидаемых неудач, чем достойный уважения результат упорного труда
И нет ничего плохого в обиде на того, кто сделал что-то, что тебе не понравилось. Это вполне нормальная реакция здорового человека, обижаться - нормально и не стыдно
Имхо, вот эти абзацы - просто золото этой статьи
То есть, оказывается, что если человек платит немалые деньги за курс, добросовестно выполняет задания на нем (то есть буквально делает все, говорят делать авторы курса), потом пишет об этом в резюме, а после - систематически не может найти работу, то виноваты не авторы курса, которые склепали мусор, откровенно говоря, а маркетинг? И даже не в той части, что продаёт откровенный мусор, а в той, что формирует некорректные ожидания?
Маркетинг, авторы и преподаватели сидят в одной лодке, невозможно замараться только кому-то одному. Плохой курс - имей уважение к себе, не продавай его. Продавцы привели не тех студентов - имей уважение к себе, объясни им ситуацию и преподавай оставшимся, либо уходи. Не хватает материала - добавьте и скажите об этом прямо. Не знаете, как искать работу потом - скажите студентам прямо, что учите их основам, но по статистике почти никто работу не находит после этого
Но обвинять студентов в том, что-то не так делают, когда они добросовестно выполняют все задания, не надо. Это все равно, что врач бы говорил пациенту, что он дурачок и пил лекарства, которые он ему и прописал, а не лечился правильно
Важно понимать, что есть две разные беды:
Кто-то неправильно понимает, как использовать методологию, где она применима и зачем нужна. Это не так плохо, можно учиться и пытаться научить людей
Кто-то хорошо понимает, что он неправильно что-то применяет. И делает это очень осознанно, так как это позволяет получать зарплаты/премии, руководить все большими коллективами, выступать на мероприятиях, писать статьи и книги. Практически вокруг любого бизнеса появляется толпа людей, которые хотят отщипнуть себе деньги, как только они появляются. В ИТ и в управлении проектами сейчас просто безумное количество денег, и неудивительно, что рядом летают те, кто их хочет. В такой ситуации практически бесполезно писать статьи о том, почему «ХХХ - плохая технология/методология», важно четко понимать, что именно и зачем вы делаете
Поэтому важно понимать, с кем вы работаете - с человеком, который делает что-то по ошибке, либо с тем, кто зарабатывает на этом деньги
Боюсь, что причина отсутствия таких статей очень простая - скорее всего, таких результатов нет. Если кто-то может предложить какой-то процесс, который даст проверяемый повторяемый хороший результат, то он может очень надолго забыть о написании однообразных статей на Хабр. Люди будут бежать, требовать и выбивать такие услуги себе. А наличие времени на такие статьи каждый день - такой себе знак
Мне смешно и грустно с этого. Казалось бы, честно придумал подход, который действительно спасает множество жизней каждый день - радуйся и гордись. Мало кому удаётся сделать что-то подобное за всю жизнь. Не придумал - сиди и молчи. Но нет, надо полезть и требовать запретить применение реально полезной технологии, чтобы именно этим и прославиться
Надеюсь на иск в его сторону за попытку осознанно затруднить людям получение экстренной помощи (тут вопрос к юристам, подходят ли такие действия под какую-то статью или нет)