Video: 09/08/2019 - Live Bug Bounty Recon Session on Yahoo (censys, altdns, amass) w/ @infosec_au (Nobyembre 2024)
Ang mga mananaliksik ng seguridad na dalubhasa sa pagsubok sa pagtagos ay gumugol ng kanilang mga araw (at gabi) na sinusubukan na sirain ang mga sistema ng seguridad. Kung nakakita sila ng isang butas ng seguridad sa isang produkto bago gawin ng mga masasamang tao, binibigyan nito ang oras ng tagagawa ng produkto upang itulak ang isang patch. Ano ang nasa loob nito para sa mananaliksik? Marahil isang $ 100, 000 bug na halaga, kung ang problema ay nasa isang produkto ng Microsoft. Ang mga mananaliksik sa High-Tech Bridge, isang serbisyong pangseguridad at pagtagos sa pagsubok ng kumpanya, ay nag-ulat na ang Yahoo ay nag-aalok din ng isang bug na halaga. Ang unang reporter ng isang natitiyak na bug ng seguridad ay nakakakuha ng … $ 12.50, matubos lamang sa tindahan ng kumpanya ng Yahoo para sa "corporate t-shirt, tasa, pen at iba pang mga accessories." Talagang, Yahoo?
Mabilis na na-Crack
Ang Security sa Yahoo Web page ay nag-uulat sa mga hakbang sa seguridad na nakuha ng kumpanya, kasama ang isang koleksyon ng mga tip. Ang mga indibidwal na nag-iisip na ang kanilang mga account ay na-hack o nakompromiso ay maaaring makipag-ugnay sa Yahoo mula sa pahinang ito para sa tulong. Sinasabi rin nito, "Kung ikaw ay isang miyembro ng komunidad ng seguridad at kailangan mong mag-ulat ng isang kahinaan sa teknikal, makipag-ugnay sa: [email protected]."
Upang suriin ang sistema ng Bug Bounty, ang mga mananaliksik ng High-Tech Bridge ay naupo at nagsimulang maghanap ng mga butas sa seguridad sa mga website ng Yahoo. Natagpuan nila ang isa kaagad, ngunit naiulat na ito. Sa paglipas ng ibang araw ng ilang araw ay natagpuan nila ang tatlong higit pang mga kahinaan sa script ng cross-site, bago ang lahat. (Hindi ba medyo nakababahala sa sarili nito?) Ayon sa ulat, "Ang bawat isa sa mga natuklasan na kahinaan ay pinapayagan ang anumang @ yahoo.com email account na mai-kompromiso sa pamamagitan lamang ng pagpapadala ng isang espesyal na ginawa na link sa isang naka-log na Yahoo user." Kapag nag-click ang gumagamit na nag-link, tapos na ang laro.
Ang mga mismong mananaliksik ng Yahoo ay nagpatunay na ang mga kahinaan na ito ay totoong mayroon (na naayos na sila). Inalok nila ang pangkat ng pananaliksik ng isang pusong nagpapasalamat, at isang parangal na $ 12.50 bawat bug, na matubos sa tindahan ng kumpanya. Ang mga mananaliksik ay hindi napigilan; ang ulat ay nagsasaad, "Sa puntong ito napagpasyahan naming huminto sa karagdagang pananaliksik."
Mas malaking Mga Halaga
Magbabayad ang Microsoft ng isang $ 100, 000 na halaga para sa ilang mga ulat. Ang Facebook ay nagbabayad ng higit sa isang milyong dolyar. Ang Apple ay hindi nagbabayad ng mga bounties ng bug, ngunit gantimpala ang "responsableng pagsisiwalat" na may katanyagan. Sa akin, ang patakaran ng walang-cash na katanyagan ng Apple ay tila mas mahusay kaysa sa pagbibigay ng pagbabago sa chump.
"Dapat marahil baguhin ng Yahoo ang kanilang mga relasyon sa mga mananaliksik ng seguridad, " puna ni Ilia Kolochenko, CEO ng High-Tech Bridge. "Ang pagbabayad ng ilang dolyar sa bawat kahinaan ay isang masamang biro at hindi mag-uudyok sa mga tao na iulat ang mga kahinaan sa seguridad sa kanila, lalo na kung ang mga kahinaan ay madaling ibenta sa itim na merkado para sa mas mataas na presyo." Nagtapos siya na kung ang Yahoo ay hindi gumastos nang higit pa sa seguridad ng korporasyon, "wala sa mga customer ng Yahoo ang makaramdam ng ligtas."
Ang iba pang mga kumpanya ay hinihiling na gumawa ng mapagtanto na ang mga bounties ng bug ay nagbabayad ng malaking oras. Ilang taon na ang nakakaraan ay nag-aalok ang Facebook ng $ 500. Karamihan sa mga kamakailan-lamang na isang mananaliksik, na tumanggi sa isang malaking halaga sa pamamagitan ng Facebook, ay nagpakita ng kanyang natuklasan sa pamamagitan ng pag-post sa pader ni Mark Zuckerberg. Si Brian Martin, Pangulo ng Open Security Foundation, ay nabanggit na "Kahit na ang Microsoft, na siyang pinaka kilalang hold-out sa mga bug na mga programa sa bug ay natanto ang halaga at tumalon nang mas maaga, na nag-aalok ng hanggang sa $ 100, 000." Sinabi niya, "Ang ilan sa mga kumpanyang ito ay nagbabayad ng mas maraming pera sa kanilang mga janitor upang linisin ang kanilang mga tanggapan, kaysa sa kanilang mga mananaliksik sa seguridad na nakakahanap ng mga kahinaan na maaaring ilagay sa peligro ang libu-libo ng kanilang mga customer."
Kailangan kong sumang-ayon. Kung ang mga vendor ay hindi magbabayad para sa mga pagtuklas ng mga mananaliksik sa seguridad, tiyak na may iba pa. Hindi namin nais ang mga matalinong mananaliksik na lumingon sa Madilim na Side upang pakainin ang kanilang mga anak.
