Videó: 09/29/2019 - Live Bug Bounty Recon Session on Yahoo (meg, assetfinder, etc) w/ @Tomnomnom (November 2024)
A penetrációs tesztelésre szakosodott biztonsági kutatók napjaikat (és éjszakáikat) a biztonsági rendszerek megtörésére törekszik. Ha találnak biztonsági rést egy termékben, mielőtt a rossz fiúk ezt megtennék, akkor ez a termék gyártójának ideje arra, hogy kihúzza a javítást. Mi a helyzet a kutatóval? Lehet, hogy egy 100 000 dolláros hibajavaslat, ha a probléma egy Microsoft termékben volt. A biztonsági szolgálatot és a penetrációt vizsgáló cég, a High-Tech Bridge kutatói beszámoltak arról, hogy a Yahoo szintén hibajavaslatot kínál. Az ellenőrizhető biztonsági hiba első riportere… 12, 50 USD-t kap, csak a Yahoo vállalati üzletében váltható be "vállalati pólók, csészék, tollak és egyéb kiegészítők számára". Tényleg, Yahoo?
Gyorsan repedt
A Biztonság a Yahoo weboldalon bemutatja a vállalat által már megtett biztonsági lépéseket, valamint a tippek gyűjteményét. Azok a személyek, akik úgy vélik, hogy fiókjaikat feltörték vagy veszélyeztették, segítségért léphetnek kapcsolatba a Yahoo-val ezen az oldalon. Azt is kimondja: "Ha Ön a biztonsági közösség tagja, és be kell jelentenie egy műszaki sebezhetőséget, vegye fel a kapcsolatot a következő címen: [email protected]."
A Bug Bounty rendszer értékeléséhez a High-Tech Bridge kutatói leültek és biztonsági lyukakat kerestek a Yahoo webhelyein. Azonnal találtak egyet, de erről már számoltak. Pár nap alatt újabb három webhelyközi szkript-biztonsági rést találtak. (Ez önmagában nem kissé riasztó?) A jelentés szerint "A felfedezett sérülékenységek lehetővé tették a @ yahoo.com e-mail fiókok veszélyeztetését, egyszerűen egy speciálisan kialakított hivatkozás elküldésével a bejelentkezett Yahoo felhasználó számára." Amint a felhasználó rákattint erre a linkre, véget ér a játék.
A Yahoo saját kutatói ellenőrizték, hogy ezek a sérülékenységek valóban léteznek-e (azóta javítottak). Őszinte köszönetet mondtak a kutatócsoportnak és hibának 12, 50 dollár jutalmat, amelyet a cég üzletében válthatnak be. A kutatók nem voltak képesek; A jelentés kimondja: "Ezen a ponton úgy döntöttünk, hogy folytatjuk a további kutatásokat."
Nagyobb bónuszok
A Microsoft 100 000 dollár fejbért fizet a jelentésekért. A Facebook több mint egymillió dollárt fizetett ki. Az Apple nem fizeti a hibákat, de hírnévvel jutalmazza a "felelősségteljes közzétételt". Számomra az Apple nem készpénzes, csak hírnévre vonatkozó politikája jobbnak tűnik, mint a csoporcsere elnyerése.
"A Yahoo-nak valószínűleg felül kell vizsgálnia a biztonsági kutatókkal fenntartott kapcsolatait" - kommentálta Ilia Kolochenko, a High-Tech Bridge vezérigazgatója. "Több dollár fizetése sebezhetőség miatt rossz vicc, és nem ösztönzi az embereket, hogy jelentsék számukra a biztonsági réseket, különösen akkor, ha ezeket a biztonsági réseket könnyen eladhatják a fekete piacon sokkal magasabb áron." Megállapítja, hogy ha a Yahoo nem költene többet a vállalati biztonságra, "a Yahoo egyik ügyfele sem érezheti magát biztonságban".
Más cégeknek újraprogramozást kellett felvenniük, hogy rájöjjenek, hogy a bugiestek nagy idő alatt megtérülnek. Néhány évvel ezelőtt a Facebook mindössze 500 dollárt ajánlott fel. A közelmúltban az egyik kutató, akit a Facebook nem tagadott meg hamisítást, Mark Zuckerberg falára tette fel. Brian Martin, az Open Security Foundation elnöke megjegyezte, hogy "Még a Microsoft is, aki a leghírhedtebb visszatartás volt a hibajavaslatok programjain, felismerte az értéket és ugrott a többiek előtt, akár 100 000 dollárt kínálva." Ezt folytatta: "Ezek közül a vállalatok közül néhányan több pénzt fizetnek a házvezetőknek az irodáik tisztításához, mint a biztonsági kutatók, akik olyan biztonsági réseket találnak, amelyek ügyfeleik ezreit veszélyeztetik."
Egyet kell értenem. Ha az eladók nem fizetnek a biztonsági kutatók általi felfedezésekért, minden bizonnyal vannak olyanok, akik ezt megteszik. Nem akarjuk, hogy azok az okos kutatók a Sötét Oldal felé forduljanak, hogy táplálják gyermekeiket.
