Security Meetup в офисе Mail.Ru Group — как это было

в 16:48, , рубрики: bug bounty, mail.ru, безопасность, Блог компании Mail.Ru Group, Блог компании Журнал Хакер, встреча, информационная безопасность, отчёт, Учебный процесс в IT, уязвимость нулевого дня

Security Meetup в офисе Mail.Ru Group — как это было - 1

Всем привет! Меня зовут Ира, я выпускающий редактор в журнале Хакер. В начале декабря я побывала на Security Meetup в офисе Mail.Ru Group и хочу поделиться впечатлениями. Митап был посвящен программам bug bounty. Первый доклад сделала по видеосвязи представительница авторитетного международного хакерского сообщества HackerOne. Она рассказала о том, как компаниям организовать собственную программу bug bounty c помощью этого сервиса, а пентестерам прокачать навыки и заработать денег. HackerOne — это вещь! Во-первых, он облегчает жизнь представителем компаний:

  • можно быстро и легко донести информацию о проведении bug bounty до целевой аудитории (ведь если сайт по продаже, к примеру, наборов для вышивания, разместит у себя на главной странице баннер о bug bounty, то отклика от пентестеров он может не дождаться)
  • не надо думать о том, как вознаграждения дойдут до пользователей, финансовые вопросы берет на себя HackerOne

Во-вторых, этот сервис защищает пентестеров от несправедливости со стороны компаний. Если хакер найдет уязвимость, а фирма не захочет за нее заплатить, то вмешается администрация HackerOne и решит конфликт между двумя сторонами.

Логичнее было бы поставить этот доклад после того, как докладчики из Яндекса, Mail.Ru Group и Badoo рассказали о тех проблемах, с которыми они сталкивались при организации программ по поиску уязвимостей. Ведь люди, которые не занимались подобной деятельностью, не имеют понятия о сложностях, связанных с проведением bug bounty, и им трудно было сразу осознать выгоду, которую можно получить от сотрудничества с HackerOne.

Владимир Дубровин (Mail.Ru Group) и Тарас Иващенко (Яндекс) рассказали о проведенных их компаниями программах bug bounty. Они отметили следующие трудности:

  • огромное количество спама (на сотню bug-репортов приходится 3-4 адекватных). Прим.: на HackerOne «хакеров»-спамеров банят, и это еще одна причина его использовать.
  • перечисление вознаграждений — очень сложный процесс. Участники попадаются со всего мира. Некоторые из них не имеют банковских счетов и электронных кошельков. С каждым приходится индивидуально решать этот вопрос.
  • часто хакеры присылают отчеты об уже найденных до них уязвимостях и требуют вознаграждение. Эти ситуации отнимают моральные силы у организаторов программ. Но как сказал представитель одной из компаний, «кто первый встал, того и тапки».

С технической точки зрения мне показался наиболее интересным доклад Ильи Агеева из Badoo. Если его предшественники больше говорили об общих проблемах проведения программ, то он подробно рассказывал о конкретных найденных уязвимостях. В частности, о том, как можно было, меняя число в адресной строке, увеличивать баланс пользователя (помню, на рубеже 2006 и 2007 годов ВКонтакте тоже имелась подобная уязвимость, позволявшая накручивать рейтинг).

Дмитрий Бумов, как всегда, был на высоте. Этот парень — великолепный докладчик, который зажигает весь зал своей энергией. Он рассказывал о своем опыте участия в программах bug bounty (упоминал такие известные имена, как Facebook, Twitter и т.д.) и найденных им багах. Еще Дима давал советы о том, как находить уязвимости наиболее эффективно («Надо думать, а не вставлять в bug-report выдачу сканера»). Жаль, что его докладу было уделено мало времени, но удачно то, что его поставили в конец. Благодаря такой расстановке докладчиков слушатели шли домой с легким и позитивным настроением.

Пару слов об организационных моментах. В подарок дали футболку с рисунком из нулей и единиц. Я пришла ровно в 19:00, и поэтому удалось получить футболку моего размера. Для участников был организован отдельный Coffee Point – чай, кофе, печенье и газированные напитки. Если знать куда идти (подняться по стеклянной лестнице напротив спортзала), то можно раздобыть тыкву и свежевыжатый апельсиновый сок.

Брейк длился целых полчаса, а этого вполне достаточно, чтобы погулять по офису Mail.Ru Group. В этом «офисе мечты» можно увидеть много интересного:

  • огромный телевизор во всю стену, по которому беспрерывно транслировали сериал «Кремниевая долина» (за все разы, что я бывала в Mail.Ru Group, не видела, чтобы его кто-нибудь смотрел :))
  • столы для игр (настольный футбол и т.д.)
  • уголки для уединения — углубления в стенах, в которых размещены диванчики и подушки на них (в одних можно свободно разместиться втроем, а в некоторые даже вдвоем не влезешь… ну, только если очень постараться)
  • невероятную панораму Москвы из окон 26 этажа

Несмотря на то, что регистрация на встречу была открытой, а участие бесплатным, в зале было довольно мало случайных гостей. Большинство лиц в зале были мне знакомы (авторы «Хакера», полтора десятка сотрудников Mail.Ru Group, известные представители российского сектора ИБ и просто люди, которые примелькались на других конференциях). Но возможностей для неформального общения участникам представилось немного: время на вопросы после докладов было сильно ограничено, а на просто общение был отведен лишь получасовой брейк.

Этот митап был полезен прежде всего сотрудникам компаний, которые проводили, проводят или будут проводить программы bug bounty. Они вынесли из него реально уникальные и практически полезные знания. Специальной информации для пентестеров было неожиданно мало. Некоторым слушателям это не понравилось. Впрочем, содержание докладов соответствовало анонсу мероприятия и люди знали, куда идут.

Видеозапись докладов:

Автор: irina_chernova

Источник

* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js