Всем привет! Меня зовут Ира, я выпускающий редактор в журнале Хакер. В начале декабря я побывала на Security Meetup в офисе Mail.Ru Group и хочу поделиться впечатлениями. Митап был посвящен программам bug bounty. Первый доклад сделала по видеосвязи представительница авторитетного международного хакерского сообщества HackerOne. Она рассказала о том, как компаниям организовать собственную программу bug bounty c помощью этого сервиса, а пентестерам прокачать навыки и заработать денег. HackerOne — это вещь! Во-первых, он облегчает жизнь представителем компаний:
- можно быстро и легко донести информацию о проведении bug bounty до целевой аудитории (ведь если сайт по продаже, к примеру, наборов для вышивания, разместит у себя на главной странице баннер о bug bounty, то отклика от пентестеров он может не дождаться)
- не надо думать о том, как вознаграждения дойдут до пользователей, финансовые вопросы берет на себя HackerOne
Во-вторых, этот сервис защищает пентестеров от несправедливости со стороны компаний. Если хакер найдет уязвимость, а фирма не захочет за нее заплатить, то вмешается администрация HackerOne и решит конфликт между двумя сторонами.
Логичнее было бы поставить этот доклад после того, как докладчики из Яндекса, Mail.Ru Group и Badoo рассказали о тех проблемах, с которыми они сталкивались при организации программ по поиску уязвимостей. Ведь люди, которые не занимались подобной деятельностью, не имеют понятия о сложностях, связанных с проведением bug bounty, и им трудно было сразу осознать выгоду, которую можно получить от сотрудничества с HackerOne.
Владимир Дубровин (Mail.Ru Group) и Тарас Иващенко (Яндекс) рассказали о проведенных их компаниями программах bug bounty. Они отметили следующие трудности:
- огромное количество спама (на сотню bug-репортов приходится 3-4 адекватных). Прим.: на HackerOne «хакеров»-спамеров банят, и это еще одна причина его использовать.
- перечисление вознаграждений — очень сложный процесс. Участники попадаются со всего мира. Некоторые из них не имеют банковских счетов и электронных кошельков. С каждым приходится индивидуально решать этот вопрос.
- часто хакеры присылают отчеты об уже найденных до них уязвимостях и требуют вознаграждение. Эти ситуации отнимают моральные силы у организаторов программ. Но как сказал представитель одной из компаний, «кто первый встал, того и тапки».
С технической точки зрения мне показался наиболее интересным доклад Ильи Агеева из Badoo. Если его предшественники больше говорили об общих проблемах проведения программ, то он подробно рассказывал о конкретных найденных уязвимостях. В частности, о том, как можно было, меняя число в адресной строке, увеличивать баланс пользователя (помню, на рубеже 2006 и 2007 годов ВКонтакте тоже имелась подобная уязвимость, позволявшая накручивать рейтинг).
Дмитрий Бумов, как всегда, был на высоте. Этот парень — великолепный докладчик, который зажигает весь зал своей энергией. Он рассказывал о своем опыте участия в программах bug bounty (упоминал такие известные имена, как Facebook, Twitter и т.д.) и найденных им багах. Еще Дима давал советы о том, как находить уязвимости наиболее эффективно («Надо думать, а не вставлять в bug-report выдачу сканера»). Жаль, что его докладу было уделено мало времени, но удачно то, что его поставили в конец. Благодаря такой расстановке докладчиков слушатели шли домой с легким и позитивным настроением.
Пару слов об организационных моментах. В подарок дали футболку с рисунком из нулей и единиц. Я пришла ровно в 19:00, и поэтому удалось получить футболку моего размера. Для участников был организован отдельный Coffee Point – чай, кофе, печенье и газированные напитки. Если знать куда идти (подняться по стеклянной лестнице напротив спортзала), то можно раздобыть тыкву и свежевыжатый апельсиновый сок.
Брейк длился целых полчаса, а этого вполне достаточно, чтобы погулять по офису Mail.Ru Group. В этом «офисе мечты» можно увидеть много интересного:
- огромный телевизор во всю стену, по которому беспрерывно транслировали сериал «Кремниевая долина» (за все разы, что я бывала в Mail.Ru Group, не видела, чтобы его кто-нибудь смотрел :))
- столы для игр (настольный футбол и т.д.)
- уголки для уединения — углубления в стенах, в которых размещены диванчики и подушки на них (в одних можно свободно разместиться втроем, а в некоторые даже вдвоем не влезешь… ну, только если очень постараться)
- невероятную панораму Москвы из окон 26 этажа
Несмотря на то, что регистрация на встречу была открытой, а участие бесплатным, в зале было довольно мало случайных гостей. Большинство лиц в зале были мне знакомы (авторы «Хакера», полтора десятка сотрудников Mail.Ru Group, известные представители российского сектора ИБ и просто люди, которые примелькались на других конференциях). Но возможностей для неформального общения участникам представилось немного: время на вопросы после докладов было сильно ограничено, а на просто общение был отведен лишь получасовой брейк.
Этот митап был полезен прежде всего сотрудникам компаний, которые проводили, проводят или будут проводить программы bug bounty. Они вынесли из него реально уникальные и практически полезные знания. Специальной информации для пентестеров было неожиданно мало. Некоторым слушателям это не понравилось. Впрочем, содержание докладов соответствовало анонсу мероприятия и люди знали, куда идут.
Видеозапись докладов:
Автор: irina_chernova