Как стать автором
Обновить

«Яндекс» перезапустил программу вознаграждений «Охота за ошибками»

Информационная безопасность *Браузеры Тестирование веб-сервисов *IT-компании


9 июня 2021 года «Яндекс» объявил о перезапуске программы вознаграждений «Охота за ошибками». Компания увеличила выплаты до 750 тыс. рублей за уязвимость с удаленным выполнением кода, а также сделала условия для участников прозрачнее.

Так «Яндекс» решил мотивировать специалистов в области кибербезопасности искать новые уязвимости по двум направлениям — инфраструктура, веб-сервисы, и приложения, а также отдельно по "Яндекс.Браузеру". Причем подробно описанный выход из его песочницы оценивается в 370 тыс. рублей, а за базовое описание можно получить 220 тыс. рублей.
Читать дальше →
Всего голосов 15: ↑15 и ↓0 +15
Просмотры 3.1K
Комментарии 6

Cloudflare запустила программу bug bounty на HackerOne

Информационная безопасность *

Американская компания Cloudflare, специализирующаяся на веб-инфраструктуре и безопасности сайтов, сообщила в блоге о запуске открытой программы поиска ошибок.

Читать далее
Всего голосов 2: ↑2 и ↓0 +2
Просмотры 451
Комментарии 0

Минцифры анонсировали программу Bug Bounty для государственных систем

Информационная безопасность *Законодательство в IT

Директор департамента обеспечения кибербезопасности Минцифры Владимир Бенгин в рамках форума Positive Hack Days 11 анонсировал первую государственную программу Bug Bounty. Систему планируется запустить в 2022 году. Подробностями с форума поделились представители Информационной службы Хабра.

Читать далее
Всего голосов 12: ↑11 и ↓1 +10
Просмотры 1.7K
Комментарии 6

Сервис «Яндекс Еда» в два раза увеличил награду за нахождение уязвимостей

Информационная безопасность *IT-компании

«Яндекс Еда» в два раза увеличил награду этичным хакерам, способным найти уязвимости в сервисе, сообщили Хабру в пресс-службе «Яндекса». Теперь максимальная сумма награды за найденную уязвимость составляет 1,5 млн рублей. Увеличение призового фонда компания объясняет усилением защиты. В частности, сервис свёл к минимуму количество сотрудников, имеющих доступ к информации о покупателях, участил проведение полного аудита безопасности и дал клиентам возможность стирать историю своих заказов.

Читать далее
Всего голосов 4: ↑4 и ↓0 +4
Просмотры 744
Комментарии 2

VK присоединилась к платформе по поиску уязвимостей The Standoff 365

Блог компании VK Информационная безопасность *

VK присоединилась к платформе The Standoff 365 Bug Bounty (разработчик — Positive Technologies). Размещённая на ней программа по поиску уязвимостей (bug bounty), в которую будут входить более 40 проектов, помогает находить с помощью внешних экспертов недостатки в системе безопасности и устранять их до обнаружения злоумышленниками. 

Если исследователям удастся выявить уязвимости, их ждет вознаграждение в размере от 6 тыс. до 1,8 млн руб. (сумма зависит от уровня угрозы). 

К слову, VK одна из первых российских компаний начала осуществлять выплаты внешним исследователям безопасности за найденные уязвимости. С 2013 г. получено более 15 тыс. отчётов, что позволило усилить защиту данных пользователей и исправить ошибки. За время действия программы компания направила на выплаты более 185 млн рублей. 

Читать далее
Всего голосов 2: ↑2 и ↓0 +2
Просмотры 295
Комментарии 0

Как покрывать код проверками безопасности: обсуждаем в прямом эфире

Блог компании Swordfish Security Информационная безопасность *

Привет, Хабр! 

Не устаю напоминать, что меня зовут Юрий Шабалин. Вместе с командой Стингрей Технолоджиз мы занимаемся анализом защищенности мобильных приложений: находим различные типы уязвимостей и помогаем их устранять. Сегодня я хочу поделиться с вами отличной новостью: в этот четверг, 11 августа, расскажу в прямом эфире в Telegram о том, как покрывать код проверками безопасности. Приглашаю всех вас послушать - уверен, вам будет жарко, вернее, интересно. 

Читать далее
Рейтинг 0
Просмотры 239
Комментарии 0

Фаззинг браузера Chrome: 6000 инстансов, 50 млн вариантов в сутки

Тестирование IT-систем *Google Chrome
Компания Google раскрыла некоторые подробности, как осуществляется тестирование браузера Chrome на уязвимости. Для этого они применяют метод фаззинга (fuzz testing), то есть используют методику тестирования, при которой на вход программы подаются невалидные, непредусмотренные или случайные данные.

Идея заключается в том, чтобы протестировать максимально возможное количество вариантов. Естественно, для этого нужны серьёзные ресурсы. Для тестирования Chrome создан целый кластер серверов ClusterFuzz, состоящий из нескольких сотен виртуальных машин.
Читать дальше →
Всего голосов 55: ↑48 и ↓7 +41
Просмотры 3.1K
Комментарии 25

Проверь Badoo на прочность! Месяц поиска уязвимостей

Блог компании Badoo Информационная безопасность *
Компания Badoo, вслед за своими коллегами ― крупнейшими представителями IT-индустрии, такими как Google, Facebook и Яндекс, начинает платить за найденные уязвимости. Мы объявляем конкурс «Проверь Badoo на прочность!», который стартует 19 марта и продлится ровно месяц.

Участвовать в конкурсе могут все желающие, кроме сотрудников Badoo. Каждый участник может отправить любое количество заявок.
Участники обязуются сохранять найденные уязвимости в тайне до тех пор, пока Badoo не сообщит об их исправлении в таблице заявок, но не дольше чем до 31 мая 2013 года.
Мы платим за все найденные новые уязвимости.
Уязвимости будут ранжированы от 5-й (500 фунтов стерлингов) до 1-й категории (50 фунтов стерлингов) в зависимости от их критичности. Категорию критичности определяет жюри конкурса.

К тому же у нас есть специальный приз! По итогам конкурса 3 самых активных участника получат по 1000 фунтов. Если вы нашли что-то очень серьезное, то мы можем выдать супер-премию выше 500 фунтов.
Читать дальше →
Всего голосов 53: ↑42 и ↓11 +31
Просмотры 18K
Комментарии 46

Собираем в команду «Project Zero» специалистов по информационной безопасности

Блог компании Google Developers Информационная безопасность *
Перевод
Безопасность продуктов — один из главных приоритетов Google. Мы по умолчанию используем надежное шифрование на базе SSL для таких сервисов, как Поиск, Gmail и Google Диск. Все данные, которыми обмениваются наши дата-центры, также зашифрованы. Но кроме безопасности наших собственных продуктов нас волнует безопасность Интернета в целом. Именно поэтому сотрудники компании уделяют большое внимание поиску уязвимостей в Сети и даже объединяют информацию о них в отчеты. В первую очередь это касается поиска ошибок типа Heartbleed.

Результаты этого небольшого и, в общем-то, стороннего проекта показались нам настолько интересными, что мы решили собрать новую команду специалистов под общим названием «Проект Ноль».

Пользуясь Интернетом, вы должны быть уверены, что никто не смог воспользоваться ошибками в коде, чтобы запустить вирус в ваш компьютер, получить доступ к закрытой информации или отследить ваши контакты. К сожалению, в мире существует немало сложных вредоносных программ, например программы под общим названием «Уязвимость нулевого дня», которые уже были использованы против борцов за права человека или в целях промышленного шпионажа. Мы считаем, что такой практике нужно положить конец, и готовы работать над решением этой проблемы.

«Проект Ноль» – это первый шаг, который станет нашим вкладом в общее дело. Наша цель – значительно сократить количество людей, пострадавших от целевых атак. Мы приглашаем на работу лучших специалистов-практиков в области исследований проблем сетевой безопасности, а они, в свою очередь, посвящают 100% своего рабочего времени повышению уровня безопасности в Интернете.
Читать дальше →
Всего голосов 40: ↑35 и ↓5 +30
Просмотры 12K
Комментарии 8

Анализатор исходных кодов RATS

Информационная безопасность *
Одним из методов поиска уязвимостей в программном обеспечении является использование анализаторов исходных текстов. В данной посте хочу рассказать об одном из них, а именно о RATS (Rough Auditing Tool for Security). Упоминания о RATS встречались не раз в уважаемых мной источниках, а именно тут, тут и еще здесь. Однако, реального примера использования нигде не было.
Читать дальше →
Всего голосов 16: ↑14 и ↓2 +12
Просмотры 9.4K
Комментарии 4

Неприкасаемый Oracle

Блог компании Digital Security Информационная безопасность *Oracle *
С 1995 г. в продуктах Oracle было найдено 3896 уязвимостей, и их количество продолжает расти. Исследовательский центр Digital Security занимается поиском проблем безопасности в системах Oracle уже почти 10 лет, найдя за это время массу всевозможных уязвимостей во всей линейке их продуктов, включая разнообразные опаснейшие архитектурные баги. Некоторые из них исправлялись вендором около 3 лет после нашего уведомления (!). Поэтому с Ораклом мы знакомы не понаслышке.

Скандал, который разразился вчера в мире немедленно после публикации и последующего удаления – по словам вице-президента и главного архитектора Oracle Эдварда Скривена (Edward Screven), запись «не отражала истинных взглядов компании на взаимоотношения с пользователями», – этой записи в блоге CSO компании Oracle Мэри Энн Дэвидсон (Mary Ann Davidson), на самом деле достаточно поучителен. В нем прекрасно проявилась вся боль вендоров, все их реальное отношение к безопасности продуктов.

Наилучшей иллюстрацией здесь мог бы быть фильм с Мэлом Гибсоном «Чего хотят женщины?» Исследователи безопасности и заказчики – внимательно прочтите, что же на самом деле думает об исследованиях главный безопасник Oracle и как на самом деле она относится к безопасности своих продуктов. При этом следует понимать, что она говорит то, что другие вендоры просто не решаются сказать. Они благодарят исследователей за найденные уязвимости, мило улыбаются заказчикам, а внутри себя тихо ненавидят и тех и других. «Не трогайте наши продукты!», «Согласно лицензии, вы не имеете право на реверс-инжиниринг!» – это дословно ее высказывания. «Отстаньте уже от нас со своей безопасностью, мы сами разберемся», – вот что на самом деле думают вендоры. И как они сами «разбираются», по три года закрывая опаснейшие архитектурные уязвимости (в частности, с аутентификацией на клиенте!), мы отлично знаем. Что интересно, особенно этим славится именно компания Oracle. И теперь неудивительно почему – при таком-то отношении ее главного безопасника. Однако все-таки дело не в Oracle – и это самое важное. Их CSO просто выразила мнение всех вендоров, сказала то, что не принято говорить открыто. Это наглядная демонстрация реального отношения всех вендоров к безопасности. Что бы кто угодно из них ни говорил, – думают они именно это.

И это страшно.

Поражает и то, что CSO Oracle не знает, что большинство уязвимостей находятся вовсе не реверсингом. Oracle может смело менять слоган со старого – «Несокрушимый» – на современный: «Неприкасаемый».

Перевод заметки Мэри Энн Дэвидсон
Всего голосов 74: ↑61 и ↓13 +48
Просмотры 39K
Комментарии 60

Решето под названием Adobe Flash

Блог компании НеоБИТ Информационная безопасность *Adobe Flash
Пока еще широко распространенный продукт Flash Player компании Adobe печально известен своей безопасностью. Регулярно становится известно об очередной zero-day уязвимости во Flash, используемой хакерами в APT-кампаниях. 2015 год выдался особенно урожайным на такие уязвимости. Большая доля критических RCE-уязвимостей были вызваны некорректной работой с памятью: была возможна запись в освобожденную память в куче процесса Flash.

В этой статье мы поисследовали безопасность Adobe Flash и выяснили, что многие его «дыры в безопасности» — хронические, и решить их можно разве что переписыванием кода с нуля, в то время как разработчики ставят заплатку на заплатку, что, конечно, не повышает уровень безопасности. А еще мы продемонстрируем некоторые найденные нами и незакрытые на данный момент уязвимости!
Читать дальше →
Всего голосов 32: ↑28 и ↓4 +24
Просмотры 22K
Комментарии 66

Vulners — Гугл для хакера. Как устроен лучший поисковик по уязвимостям и как им пользоваться

Блог компании Журнал Хакер Информационная безопасность *
Tutorial


Часто нужно узнать всю информацию о какой-нибудь уязвимости: насколько найденный баг критичен, есть ли готовые сплоиты, какие вендоры уже выпустили патчи, каким сканером проверить наличие бага в системе. Раньше приходилось искать вручную по десятку источников (CVEDetails, SecurityFocus, Rapid7 DB, Exploit-DB, базы уязвимостей CVE от MITRE/NIST, вендорские бюллетени) и анализировать собранные данные. Сегодня эту рутину можно (и нужно!) автоматизировать с помощью специализированных сервисов. Один из таких — Vulners, крутейший поисковик по багам, причем бесплатный и с открытым API. Посмотрим, чем он может быть нам полезен.
Читать дальше →
Всего голосов 45: ↑45 и ↓0 +45
Просмотры 92K
Комментарии 3

Почему в Украине всё-таки есть белые хакеры

Информационная безопасность *Разработка веб-сайтов *Платежные системы *Тестирование веб-сервисов *
Эта статья будет ответом на недавнюю публикацию Владимира Таратушка.
Причин написания статьи у меня было несколько.
Первая — это показать, что белые хакеры в Украине есть. Существуют они благодаря одной из программ поощрения поиска уязвимостей, которую проводит Приватбанк.
Следующая причина — это рассказать свою success story работы с одним из крупнейшим банком Украины в рамках данной программы.
Так же я хочу показать эффективность работы такой программы на реальном примере и сподвигнуть к организации таких программ те компании, которые по каким то причинам сомневаются или не видят в них реальных плюсов.
Ну и последняя причина — показать будущим и настоящим ресёчерам, что участие в баг-баунти программах интересно, этично и материально выгодно.
Читать дальше →
Всего голосов 37: ↑30 и ↓7 +23
Просмотры 18K
Комментарии 20

Поиск уязвимости методом фаззинга и разработка шеллкода для её эксплуатации

Блог компании НеоБИТ Информационная безопасность *Занимательные задачки CTF *
Для поиска уязвимостей все средства хороши, а чем хорош фаззинг? Ответ прост: тем, что он дает возможность проверить, как себя поведёт программа, получившая на вход заведомо некорректные (а зачастую и вообще случайные) данные, которые не всегда входят во множество тестов разработчика.

Некорректное завершение работы программы в ходе фаззинга позволяет сделать предположение о наличии уязвимости.

В этой статье мы:

  • продемонстрируем, как фаззить обработчик JSON-запросов;
  • используя фаззинг, найдём уязвимость переполнения буфера;
  • напишем шеллкод на Ассемблере для эксплуатации найденной уязвимости.

Разбирать будем на примере исходных данных задания прошлого NeoQUEST. Известно, что 64-хбитный Linux-сервер обрабатывает запросы в формате JSON, которые заканчиваются нуль-терминатором (символом с кодом 0). Для получения ключа требуется отправить запрос с верным паролем, при этом доступа к исходным кодам и к бинарнику серверного процесса нет, даны только IP-адрес и порт. В легенде к заданию также было указано, что MD5-хеш правильного пароля содержится где-то в памяти процесса после следующих 5 символов: «hash:». А для того, чтобы вытащить пароль из памяти процесса, необходима возможность удалённого исполнения кода.
Читать дальше →
Всего голосов 41: ↑38 и ↓3 +35
Просмотры 21K
Комментарии 6

Тест на проникновение с помощью Metasploit Framework: базовое руководство для системного администратора

Блог компании Эшелон Информационная безопасность *
Tutorial

Редко кто из экспертов, специализирующихся на тестировании защищенности, сталкивался с ситуацией, когда не смог полностью скомпрометировать сеть в ходе внутреннего тестирования на проникновение. Причем причины успехов этичных хакеров банальны: слабые пароли, отсутствие критичных обновлений безопасности, ошибки конфигурации. Возникает вопрос: если причины незащищенности такие тривиальные, можно ли разработать перечень ключевых проверок, которые мог бы провести системный администратор самостоятельно и есть ли единый инструмент, позволяющий это реализовать? Попробуем разобраться.


Читать дальше →
Всего голосов 16: ↑16 и ↓0 +16
Просмотры 82K
Комментарии 12

Взломал дрон — получи бабки: DJI платит хакерам за найденные уязвимости

Блог компании CopterTime Гаджеты Видеотехника Мультикоптеры
image

Мировой лидер производства дронов DJI объявил о том, что готов заплатить от 100 долларов до 30000 долларов за найденные «уязвимости». Пока сайт с подробным описанием «охоты за багами» в разработке, писать о найденных дырах надо писать на почту — bugbounty@dji.com

Директор по техническим стандартам DJI Уолтер Стоквел сказал, что вместо того, чтобы бороться с хакерами, нужно использовать их наработки и достижения, чтобы совместно двигаться к общей цели в рамках миссии компании.

«Я уверен, монсеньор, наконец-то, понял.»
— «Святые из трущоб»

На самом деле руководство DJI зашевелилось после нескольких громких косяков с киберуязвимостями и «баном» со стороны американских военных.
Читать дальше →
Всего голосов 7: ↑7 и ↓0 +7
Просмотры 4.1K
Комментарии 6

Примите участие в публичном тестировании сервиса Positive Technologies по поиску уязвимостей на сайтах

Блог компании Positive Technologies Информационная безопасность *


Компания Positive Technologies предлагает пользователям Хабра поучаствовать в финальном этапе публичного тестирования бесплатного онлайн-сервиса для поиска уязвимостей в веб-приложениях PT BlackBox Scanner.
Читать дальше →
Всего голосов 13: ↑13 и ↓0 +13
Просмотры 3K
Комментарии 16

О статическом анализе начистоту

Блог компании Ростелеком-Солар Информационная безопасность *Тестирование IT-систем *Совершенный код *Тестирование мобильных приложений *
Последнее время все чаще говорят о статическом анализе как одном из важных средств обеспечения качества разрабатываемых программных продуктов, особенно с точки зрения безопасности. Статический анализ позволяет находить уязвимости и другие ошибки, его можно использовать в процессе разработки, интегрируя в настроенные процессы. Однако в связи с его применением возникает много вопросов. Чем отличаются платные и бесплатные инструменты? Почему недостаточно использовать линтер? В конце концов, при чем тут статистика? Попробуем разобраться.


Читать дальше →
Всего голосов 40: ↑36 и ↓4 +32
Просмотры 12K
Комментарии 2

Формальная верификация на примере задачи о волке, козе и капусте

Информационная безопасность *Ненормальное программирование *Занимательные задачки Python *Алгоритмы *
Из песочницы
На мой взгляд, в русскоязычном секторе интернета тематика формальной верификации освещена недостаточно, и особенно не хватает простых и наглядных примеров.

Я приведу такой пример из зарубежного источника, и дополню собственным решением известной задачи о переправе волка, козы и капусты на другую сторону реки.

Но вначале вкратце опишу, что из себя представляет формальная верификация и зачем она нужна.

Под формальной верификацией обычно понимают проверку одной программы либо алгоритма с помощью другой.

Это нужно для того, чтобы удостовериться, что поведение программы соответствует ожидаемому, а также обеспечить её безопасность.

Формальная верификация является самым мощным средством поиска и устранения уязвимостей: она позволяет найти все существующие дыры и баги в программе, либо же доказать, что их нет.
Стоит заметить, что в некоторых случаях это бывает невозможно, как например, в задаче о 8 ферзях с шириной доски 1000 клеток: всё упирается в алгоритмическую сложность либо проблему остановки.

Однако в любом случае будет получен один из трёх ответов: программа корректна, некорректна, или же — вычислить ответ не удалось.

В случае невозможности нахождения ответа, зачастую можно переработать неясные места программы, уменьшив их алгоритмическую сложность, для того чтобы получить конкретный ответ да либо нет.

А применяется формальная верификация, например, в ядре Windows и операционных системах беспилотников Darpa, для обеспечения максимального уровня защиты.

Мы будем использовать Z3Prover, очень мощный инструмент для автоматизированного доказательства теорем и решения уравнения.

Причём Z3 именно решает уравнения, а не подбирает их значения грубым брутфорсом.
Это означает, что он способен находить ответ, даже в случаях когда комбинаций входных вариантов и 10^100.

А ведь это всего лишь около дюжины входных аргументов типа Integer, и подобное зачастую встречается на практике.

Задача о 8 ферзях (Взята из англоязычного мануала).


Читать дальше →
Всего голосов 34: ↑33 и ↓1 +32
Просмотры 11K
Комментарии 50
1