Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 49
Facebook угрожает специалисту по безопасности, взломавшему Instagram
Простите коль чего недопонял, но звучит это как в том анекдоте: «Странно… Му-Му вроде как написал Тургенев, а памятник почему-то поставили Чехову»
Красиво… Странно, что они старую админку использовали, она уже давно не развивается и заменена на uchiwa.
Меня во всей этой истории удивляет не реакция компаний, а реакция «исследователей».
Давайте отвлечёмся от админок, паролой и прочего. И поговорим… ну скажем про заводы.
Вася посмотрел на двери проходной на нефтезаводе, обнаружил, что там используется замок фирмы «ДыркиНашеВсё», отрывающиеся зубочисткой и сообщил об этом дирекции завода.
Петя, обнаружив на дверях для транспорта точно замки той же фирмы подождал, пока за очередным бензовозом не закроется дверь, прошёл в комнату управления персонала, снял слепки ключей всех сотрудников и, уйдя к себе домой, написал об этом администации.
Вопрос: почему Вася получил вознаграждение в 100 рублей «за бдительность», а Пете грозит срок в несколько лет?
Одно дело — обнаружить уязвимость и совсем другое — обнаружив её начать играть «в сыщиков» на территории «режимного предприятия». Ну есть же разница, чёрт побери.
Почему люди считают что вещи, за которые в «реальном» мире дают срок «в виртуальном» должны поощраться?
Давайте отвлечёмся от админок, паролой и прочего. И поговорим… ну скажем про заводы.
Вася посмотрел на двери проходной на нефтезаводе, обнаружил, что там используется замок фирмы «ДыркиНашеВсё», отрывающиеся зубочисткой и сообщил об этом дирекции завода.
Петя, обнаружив на дверях для транспорта точно замки той же фирмы подождал, пока за очередным бензовозом не закроется дверь, прошёл в комнату управления персонала, снял слепки ключей всех сотрудников и, уйдя к себе домой, написал об этом администации.
Вопрос: почему Вася получил вознаграждение в 100 рублей «за бдительность», а Пете грозит срок в несколько лет?
Одно дело — обнаружить уязвимость и совсем другое — обнаружив её начать играть «в сыщиков» на территории «режимного предприятия». Ну есть же разница, чёрт побери.
Почему люди считают что вещи, за которые в «реальном» мире дают срок «в виртуальном» должны поощраться?
Напоминает рассказ про солонку.
С другой стороны, он не нанес прямого вреда, разве что по репутации и то среди айтишников.
Сервисы такой популярности не должны иметь известных неисправленных уязвимостей. И он правильно сделал, что показал, насколько все плохо и что можно было бы сделать, имей он другие цели.
С другой стороны, он не нанес прямого вреда, разве что по репутации и то среди айтишников.
Сервисы такой популярности не должны иметь известных неисправленных уязвимостей. И он правильно сделал, что показал, насколько все плохо и что можно было бы сделать, имей он другие цели.
Потому что в данном случае есть проблема: на двери проходной висит листочек А4: «Разрешаем искать уязвимости, если найдёте — тут же сообщайте. Ничего не красть!».
Вася обнаружил, что замки «ДыркиНашеВсё» никуда не годятся — хорошо. Петя прошёл через проходную и продолжил искать уязвимости. Нигде не написано, что после первой же уязвимости нужно остановиться! Это выясняется уже пост-фактум. Также пост-фактум выясняется и то, что сделать слепки ключей и выяснить, что часть из них — это тупо крестовые отвёртки разного размера, — это нарушение приватности. В листочке об этом не было написано. Было написано «не красть» — и Петя всё-таки не преступник, он ничего не украл.
Вася обнаружил, что замки «ДыркиНашеВсё» никуда не годятся — хорошо. Петя прошёл через проходную и продолжил искать уязвимости. Нигде не написано, что после первой же уязвимости нужно остановиться! Это выясняется уже пост-фактум. Также пост-фактум выясняется и то, что сделать слепки ключей и выяснить, что часть из них — это тупо крестовые отвёртки разного размера, — это нарушение приватности. В листочке об этом не было написано. Было написано «не красть» — и Петя всё-таки не преступник, он ничего не украл.
Ещё Петя привёл в сравнение подобный листок с проходной другого завода, молочного.
Там было написано: «Можно искать уязвимости. Ничего не красть и не ломать. Например, в качестве доказательства вы можете сфотографировать внутренности электрощитка, но запрещено что-либо в нём щёлкать!».
Петя пытался узнать мнение администрации первого завода на счёт того, как далеко можно заходить, но в ответ ничего не получил.
Там было написано: «Можно искать уязвимости. Ничего не красть и не ломать. Например, в качестве доказательства вы можете сфотографировать внутренности электрощитка, но запрещено что-либо в нём щёлкать!».
Петя пытался узнать мнение администрации первого завода на счёт того, как далеко можно заходить, но в ответ ничего не получил.
На заборе тоже "..." написано. А в УК есть статья: «несанкционированный доступ на режимное предприятие». Вот Пете теперь и предстоит доказывать в суде с этим листочком в руках, что он не виноват, и его самого туда позвали. Прокурор может заявить, что в УК ничего не написано насчет исключений из закона, которые даются какими-то листочками А4.
Сколько уже таких историй было, когда нашедшим уязвимости не платили, платили мало или вообще с ходу угрожали преследованием. Все больше убеждаюсь, что объявления о вознаграждениях за уязвимости — это неблагодарная замануха. Особенно когда конкретный размер вознаграждения не оговаривается. К примеру, вы ведете с фирмой переговоры о размерах вознаграждения. Какая мотивация для фирмы соглашаться на более высокую сумму, если вы уже передали ей всю необходимую им информацию?
Думаю, лучше или хакерствовать в свою пользу, или заниматься поиском уязвимостей профессионально, или вообще не связываться с этим.
Сколько уже таких историй было, когда нашедшим уязвимости не платили, платили мало или вообще с ходу угрожали преследованием. Все больше убеждаюсь, что объявления о вознаграждениях за уязвимости — это неблагодарная замануха. Особенно когда конкретный размер вознаграждения не оговаривается. К примеру, вы ведете с фирмой переговоры о размерах вознаграждения. Какая мотивация для фирмы соглашаться на более высокую сумму, если вы уже передали ей всю необходимую им информацию?
Думаю, лучше или хакерствовать в свою пользу, или заниматься поиском уязвимостей профессионально, или вообще не связываться с этим.
Думайте. Но баунти программы существуют и они легальны (иначе бы таких программ не было, правда?). Поэтому ваша аналогия с УК и режимным объектом тут неприменима.
Какая мотивация платить больше? Тупо чтобы в следующий раз не продали информацию об уязвимости на чёрный рынок, дыр-то много. Фирмам намного выгоднее привлекать white hats достойной оплатой, чем попадать на порядок бóльшие бабки, разгребая последствия того, что уязвимостью воспользовались не те люди.
Какая мотивация платить больше? Тупо чтобы в следующий раз не продали информацию об уязвимости на чёрный рынок, дыр-то много. Фирмам намного выгоднее привлекать white hats достойной оплатой, чем попадать на порядок бóльшие бабки, разгребая последствия того, что уязвимостью воспользовались не те люди.
«несанкционированный доступ на режимное предприятие»
Но как только предприятие публикует bug bounty, то доступ сразу становится санкционированным, ведь верно?
Эх фейсбук… Проще ему было родить, чем получить миллион за найденные уязвимости
Вайнберг какой-то Хайзенберг.
Парни из ФБ повели себя очень странно заплатив 2.5к за удаленное исполнение кода, и 12.5к за возможность лишь удалять любое фото в сети по ссылке (http://timesofindia.indiatimes.com/tech/tech-news/Facebook-pays-Indian-12500-for-finding-photo-deleting-bug/articleshow/46233195.cms)
Согласно написанному здесь
Уэсли нашёл уязвимость в инфраструктуре Instagram, с помощью которой скачал практически всё ценное, что есть на серверах Instagram: исходный код последней версии, SSL-сертификаты и приватные ключи для Instagram.com, ключи для подписи куков аутентификации...герою сюжета действительно могло бы светить наказание за кражу данных, но все-таки в оригинале автор говорит следующее
I avoided downloading any content from those buckets.что как бы не одно и тоже. Между «Зашел в помещение, порылся в шкафу, снял копии уставных и прочих важных документов и ушел. После угроз судебным делом сжег все копии» и «Заглянул, убедился, что двери и шкафы открыты и ушел, не взяв ничего» разница принципиальная.
А раньше ради миллиона долларов грабили банки (кино) :)
Только публичные расстрелы! Ой, то есть отзыв текущего статуса, полученного при предыдущем аудите безопасности и публичный разбор почему уязвимости не закрыты.
Молодцы, что сказать…
В следующий раз хакеры будут знать, что лучше слить дыру на черном рынке, чем пытаться получить адекватное вознаграждение. И выгоднее и безопаснее.
В следующий раз хакеры будут знать, что лучше слить дыру на черном рынке, чем пытаться получить адекватное вознаграждение. И выгоднее и безопаснее.
там были ключевые пары от 82 контейнеров Amazon S3. Доступ был закрыт ко всем, кроме одного. Но в этом единственном контейнере он нашёл ещё одну ключевую пару, которая давала доступ ко всем 82-м остальным контейнерам.
Очень подозрительно. Попахивает подставой.
Жаль, что в СМИ форсируют версию, что это Facebook виноват (видимо, в борьбе за рейтинги).
Любой багхантер почитав ответ от FB — www.facebook.com/notes/alex-stamos/bug-bounty-ethics/10153799951452929?pnref=story поймет, что это Wes взял на себя слишком много.
По своему опыту скажу, не согласен с суммой (в оригинале пишут вообще, что это был дубль) — просто обсуди. Не раз бывало, что суммы после обсуждения увеличивались в 2-3 раза. Он, вроде, писал по этом поводу вопрос, но не стал дожидаться ответа и уже нарушил рамки допустимого.
Любой багхантер почитав ответ от FB — www.facebook.com/notes/alex-stamos/bug-bounty-ethics/10153799951452929?pnref=story поймет, что это Wes взял на себя слишком много.
По своему опыту скажу, не согласен с суммой (в оригинале пишут вообще, что это был дубль) — просто обсуди. Не раз бывало, что суммы после обсуждения увеличивались в 2-3 раза. Он, вроде, писал по этом поводу вопрос, но не стал дожидаться ответа и уже нарушил рамки допустимого.
Как понял лично я, к Фейсбуку две претензии:
1) Каковы они, эти рамки допустимого? Вес вёл себя в рамках, описанных самим Фейсбуком. О том, что в реальности рамки ýже, выяснилось пост-фактум.
2) Фейсбук не пытался связаться с Весом и донести, что он зашёл далеко — компания сразу же начала косвенно угрожать, позвонив работодателю. И потом они говорят «ну, это был наиболее мягкий вариант из рассматривавшихся».
1) Каковы они, эти рамки допустимого? Вес вёл себя в рамках, описанных самим Фейсбуком. О том, что в реальности рамки ýже, выяснилось пост-фактум.
2) Фейсбук не пытался связаться с Весом и донести, что он зашёл далеко — компания сразу же начала косвенно угрожать, позвонив работодателю. И потом они говорят «ну, это был наиболее мягкий вариант из рассматривавшихся».
1) Об этом сказано прямым текстом в правилах — www.facebook.com/whitehat,
2) Чувак нагло сливал базу и брутил хэши, это прямое нарушение правил (это понятно любому). И уже попадает под заведение дела под него, все логично.
2) Чувак нагло сливал базу и брутил хэши, это прямое нарушение правил (это понятно любому). И уже попадает под заведение дела под него, все логично.
As a researcher on the Facebook program, the expectation is that you report a vulnerability as soon as you find it. We discourage escalating or trying to escalate access1) Будете любезны процитировать прямой текст в правилах, где об этом написано?
2) То же самое касаемо слитых данных (я думаю, это важно — инфраструктурных данных. Пользовательские данные, как говорит чувак, он не трогал. Т.е. в моём понимании user privacy не нарушена).
3) Вот с брутфорсом хэшей — да, непонятно. С одной стороны, в этом не было никакой необходимости. С другой стороны, это пароли персонала, а не пользователей. Я не уверен, что сюда подходит user privacy policy, которой прикрывается Фейсбук.
Вот с брутфорсом хэшей — да, непонятно.
По-моему, все логично. Black-hat обязательно сделал бы это, чтобы получить доступ к аккаунтам. White-hat сделал это, чтобы выяснить, насколько легко получить доступ к аккаунтам, и выяснил, что это чрезвычайно легко, т.е. нашел ту дыру, через которую смог бы проникнуть злоумышленник. Не вижу, из каких соображений он должен избегать этого шага.
2) А ещё выясняется, что безопасник Фейсбука немного привирает в своём блоге, рассказывая об инциденте. Зачем?
Wes просто не стал ждать ответа и поддался эйфории, быстрее стараясь разломать все подряд.
ФБ нормально платит, лично знаю случай и $15k за XSS. И ФБ всегда платит много выше, чем в среднем по рынку.
Единственный момент мне непонятный, почему написано, что ему заплатили 2500 (написано — за дубль), когда за дубли вообще не платят. И если это дубль — почему не был исправлен к этому моменту.
ФБ нормально платит, лично знаю случай и $15k за XSS. И ФБ всегда платит много выше, чем в среднем по рынку.
Единственный момент мне непонятный, почему написано, что ему заплатили 2500 (написано — за дубль), когда за дубли вообще не платят. И если это дубль — почему не был исправлен к этому моменту.
Не стал ждать ответа — да. Но будем объективными, разломать — нет.
Ему не заплатили. Пока что они только сказали, что он может рассчитывать на $2,500.
Вес написал, что выплата делится с его другом, который изначально обнаружил сервер. Ну и Facebook states 'typically only reward the first researcher to report a valid issue to us through the bounty program, but in this case, we well be paying for related reports with different information that helped us track down and fix this issue.'
Ему не заплатили. Пока что они только сказали, что он может рассчитывать на $2,500.
Вес написал, что выплата делится с его другом, который изначально обнаружил сервер. Ну и Facebook states 'typically only reward the first researcher to report a valid issue to us through the bounty program, but in this case, we well be paying for related reports with different information that helped us track down and fix this issue.'
Ну как нет то? Тащить амазон ключи, где хранится приватный контент пользователей, брутить хэши админов и т.п.
Вообще этот случай давно обсудили в «багхант» сообществах и все придерживаются стороны ФБ. Адекватно надо оценивать свои действия.
Никто себе подобного не позволял и сначала думал и спрашивал вендора. А Wes технически молодец, но не более.
Вообще этот случай давно обсудили в «багхант» сообществах и все придерживаются стороны ФБ. Адекватно надо оценивать свои действия.
Никто себе подобного не позволял и сначала думал и спрашивал вендора. А Wes технически молодец, но не более.
У вас какие-то свои отдельные «багхант сообщества». Не видел на просторах ни одного мнения за действия ФБ и Стамоса в частности. Все мнения сходятся в одном, что а) Уэсли действовал нагло и грубо, но в рамках опубликованных на тот момент правил, и б) Стамос повёл себя как мудак. Вы просто завидуете, что чувак оказался настолько дотошным и удачливым.
О не, вот кому кому, ему точно сейчас не позавидуешь. Не хотел бы я быть на его месте.
В этом мнении сходятся в российских СМИ, но не на Западе, в обсуждениях в твиттере и разных чатах. Может «мои сообщества» и отдельные, но состоят они из тех, кто также находит, репортит и постоянно получает реварды от различных вендоров.
В этом мнении сходятся в российских СМИ, но не на Западе, в обсуждениях в твиттере и разных чатах. Может «мои сообщества» и отдельные, но состоят они из тех, кто также находит, репортит и постоянно получает реварды от различных вендоров.
Это не баг, это фича.
Скорее всего, они не признают эти баги потому, что подставит под сомнения защищенности сервера самого Facebook, а так будут отпираться, говорить все все ОК.
Скорее всего, они не признают эти баги потому, что подставит под сомнения защищенности сервера самого Facebook, а так будут отпираться, говорить все все ОК.
Если это не уязвимость на миллион, то я не знаю что такое уязвимость на миллион.
Я полностью солидарен с Вайнбергом: чтобы довести дыру в безопасности, нужно продемонстрировать успешную кражу. Иначе все и окончится на 2500 долларах.
Да и реакция фейсбук очень медленная — этот случай должен дать им своеобразный пинок с порцией люлей, чтобы не забывали о том, что они не единственные в мире ухватили Б-га за бороду.
Все правильно сделал.
Да и реакция фейсбук очень медленная — этот случай должен дать им своеобразный пинок с порцией люлей, чтобы не забывали о том, что они не единственные в мире ухватили Б-га за бороду.
Все правильно сделал.
Это уже не просто пробой «кода»
Это ошибка архитектуры, вот почему FB так «ревностно» отреагировал
Поставить заплатку на код — это тривиальное дело. А вот архитектуру «залатать»… это 3.14
Это ошибка архитектуры, вот почему FB так «ревностно» отреагировал
Поставить заплатку на код — это тривиальное дело. А вот архитектуру «залатать»… это 3.14
Подробне плз. Где вы видите пробему в архитектуре в данном случае?
Я вижу проблему 1) секретній ключ в коде на гитхабе и 2) открітій сервер
Я вижу проблему 1) секретній ключ в коде на гитхабе и 2) открітій сервер
Да, 2500 это маловато для такой уязвимости.
Хорошо бы ответный иск к ФБ за нарушение публичной оферты!
Дорого это только там, но может какой юрист бы и взялся за % от будущей суммы.
Дорого это только там, но может какой юрист бы и взялся за % от будущей суммы.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Facebook угрожает специалисту по безопасности, взломавшему Instagram