Материал просмотрен 145 раз(а)

Вы не раз, наверняка, слышали о такой практике, как крупные компании, выплачивающие солидные деньги за информацию об уязвимостях в своих продуктах.

Из самых популярных – Google, Mozilla, Microsoft, Yandex. Не так давно я описывал интересный случай с известной компанией WebMoney, когда за найденную уязвимость не выплатили ни рубля. Я даже больше скажу, иной раз можно и самому под удар попасть, если компания захочет списать часть собственных убытков (никто не без греха) на совесть хакера. Это даже где-то было экранизировано. Вспомнил! Фильм “Хакеры”, когда мэн (блэкхат) по прозвищу “Чума” повесил на скрипткидди убытки от работы своего собственного троянца, крадущего деньги, а так же затопление нефтяных танкеров. Ну в общем и рыбку съел и косточкой не подавился. “Наши” тогда победили, конечно, но пример более чем занятный.

Никогда не знаешь, как та или иная ситуация обернётся. Порой проще не сообщать ничего об уязвимости, или попытаться продать её где-нибудь в подполье (может даже и не один раз :), чем пытаться играть роль “белой шляпы”, сообщив разработчику о проблемах в его продукте.

Размер выплаты, кстати, компании выбирают самостоятельно. Как правило, это зависит от серьёзности бага и от прочих условий, например возможность удалённой атаки, без предварительной аутентификации, падение сервиса от атаки (DoS) и т.д.

Не так давно стартовала новая программа поиска уязвимостей в ОС Android (да-да, очень популярная операционная система в последнее время), спонсируемая Гуглом. Их можно понять. Темпы распространения “умных” устройств на базе этой операционной системы потрясают воображение. Цены на смартфоны и планшеты снижаются (речь не идёт о флагманах). Сейчас уже практически каждый может себе позволить “мини-компьютер”. А вот уровень компьютерной грамотности (о чём я неоднократно писал), остаётся на прежнем уровне или даже снижается. Защищать свои устройства от кражи персональных данных и вредоносных программ пока как-то не модно. Ведь есть же бесплатные продукты. Лучше, конечно, выложить небольшую сумму и купить какой-нибудь полноценный антивирус, (например продукт той же лаборатории Касперского где-нибудь здесь), тем более, что можно использовать по одной лицензии и программы антивирусной защиты как на десктопах, так и на мобильных девайсах, зато можно спать относительно спокойно и не бояться, что телефон залочится от первого же трояна или куда-то улетят денежки посредством перевода в одном из многочисленных андроид-приложений.

bugs

Сейчас ведь никого не удивить клиентами под андроид таких систем, как webmoney, qiwi, сбербанк (и другие банки), paypal, yandex-money и т.д. Целью злоумышленников может стать любой продукт. А то и просто скачать фейковую программу, которая в один прекрасный день поможет вам перевести деньги на поддельный счёт, перехватит СМС и подтвердит отправку “честно заработанных”.

Так вот, я немного отдалился от темы. Чтобы такого не случалось и создаются подобные программы поиска уязвимостей. Белым хакерам должно быть выгоднее продавать уязвимости разработчику, который оперативно выпустит обновление и сделает свой продукт ещё безопаснее и стабильнее, чем на чёрном рынке софта и эксплойтов. Только вот не все компании готовы признавать свои ошибки (1), работать над продуктом ещё усерднее (2) и платить часть своих доходов третьим лицам (3), как это вышло с WebMoney.

Ну чтож, остаётся только пожелать удачи тем компаниям, которые действительно готовы пойти на жертвы ради улучшения своего софта.

В конце маленький опрос.

  1. А как вы относитесь к программе Bug Hunter в общем?
  2. Участвовали ли когда-нибудь?
  3. Удалось ли получить награду?
  4. Сообщали ли когда-нибудь о найденных уязвимостях владельцам безвозмездно?
  5. И как бы вы поступили, найдя серьёзную уязвимость на небольшом сайте маленькой фирмы?

Прошу в комменты