Охотники за ошибками

31 октября 2013, 13:48

Сегодня интернет-компании активно применяют краудсорсинг при тестировании безопасности своих продуктов, выплачивая людям денежные вознаграждения за сообщения об уязвимостях. Такие инициативы называются «баг баунти» (англ. bug bounty). Они позволяют компаниям плотнее взаимодействовать с профессиональным сообществом, а также взглянуть на свою безопасность со стороны. Даже в крупных компаниях внутренние ресурсы ограничены, и охватить регулярным тестированием все продукты почти невозможно. Кроме того, сервисы интернет-компаний и так находятся под прицелом взломщиков — так почему бы не дать «хорошим хакерам» стимул сообщать об уязвимостях?

Уязвимость — это недостаток системы, который ставит под угрозу конфиденциальность или целостность информации в ней. Недостатки могут быть разными: от ошибок в программном коде до неправильных настроек. Обнаруженная уязвимость, о которой стало известно вовремя, — это, потенциально, сохранённые в безопасности учётные записи тысяч пользователей и гарантия конфиденциальности данных.

Пионером «баг баунти» в интернете принято считать компанию Netscape, которая ещё в 1995 году объявила о награде до 1000 долларов за обнаружение критичных уязвимостей в своём браузере. Ошибки, получившие тогда максимальную награду, кажутся по нынешним меркам весьма наивными: так, одно из первых мест заняла уязвимость, позволявшая читать историю посещений пользователя. Сложно представить это сейчас, когда некоторые уязвимости в браузерах позволяют злоумышленникам получить полный доступ к компьютеру.

В 2004 году компания Mozilla, памятуя об успешном опыте предшественника, учредила свою программу вознаграждения и предлагала 500 долларов за уязвимости в браузере Firefox. За Mozilla в 2010 году последовал Google со своей программой поощрения за уязвимости. За найденные ошибки Google предлагал от 500 до 31337 (так выглядит слово «elite» на хакерском языке) долларов. В 2011 году аналогичную программу запустил Facebook.

Год назад к этой деятельности присоединился и Яндекс, открыв свою «Охоту за ошибками». Мы платим за уязвимости, обнаруженные в наших сервисах и приложениях, от 100 до 1000 долларов (а в особых случаях и больше), и мы первая компания в России, которая запустила подобную инициативу. За прошедшие 12 месяцев нам прислали более 1000 писем, мы исправили более 300 ошибок и выплатили исследователям более пяти миллионов рублей.

Приятно сознавать, что и другие участники российского интернет-рынка последовали за нами. Мы считаем, что программа премирования исследователей безопасности — это признак хорошего тона, подобная программа должна быть у каждой интернет-компании.

За год существования «Охоты за ошибками» мы поняли, что в ней можно многое улучшить. Нам всегда хотелось, чтобы в центре Охоты стояли ее участники — исследователи безопасности, ищущие ошибки в сервисах. Поэтому мы разработали совершенно новую концепцию «Охоты за ошибками» и уверены, что нововведения не оставят равнодушными ни текущих, ни новых «охотников».

Подробности новой «Охоты за ошибками» будут анонсированы на конференции ZeroNights — международной конференции, посвящённой практическим аспектам информационной безопасности. Она пройдет в Москве 7-8 ноября этого года. Будем рады видеть вас там!

Служба информационной безопасности Яндекса

8 комментариев
Подписаться на комментарии к посту

Говоря о выплате денег за баги странно не упоминуть Кнута, который с 70х готов платит за баги в своих программах и ошибки в книгах.

Антонiй Стовпѣцъ
31 октября 2013, 15:53

Да пишите по-русски что за кряксорсинг и багбайнти  пишите по-русски блин для граждан России

как вы задолбали своей безопасностью, у мну сайты из-за вас перестали грузиться, руки пообрывать вам бы за такие вещи!

да ладно)

Очень интересно. Жаль, что я в этой теме полный ноль.

пишите по-русски

Видеотрансляция для Питера будет?
Наконец эта практика до нас дошла