Positive Technologies запустила Bug Bounty для 15 своих продуктов

Positive Technologies запустила Bug Bounty для 15 своих продуктов

Positive Technologies запустила Bug Bounty для 15 своих продуктов

Positive Technologies расширила работу с сообществом баг-хантеров и запустила на платформе Standoff Bug Bounty отдельные программы поиска уязвимостей сразу для 15 своих продуктов. Теперь каждое ключевое решение компании можно проверять в рамках собственной, выделенной программы — с понятным списком рисков и фиксированными вознаграждениями.

За обнаружение наиболее опасных уязвимостей исследователям готовы платить до 500 тысяч рублей.

В каждой программе описано от 10 до 15 потенциальных проблем, ранжированных по уровню критичности именно для конкретного продукта. Среди примеров — возможность получения прав администратора в PT NGFW, обход аутентификации в интерфейсе управления PT Application Inspector или удаление следов атак в PT Network Attack Discovery.

За проработку критических рисков выплаты составляют от 300 до 500 тысяч рублей, за уязвимости высокого уровня опасности — от 150 до 300 тысяч. Таким образом компания даёт баг-хантерам чёткое понимание, какие сценарии представляют наибольшую ценность с точки зрения реальной безопасности.

Одновременно Positive Technologies обновила и уже действующие программы Bug Bounty. В запущенную более трёх лет назад инициативу Positive dream hunting, которая ориентирована на поиск недопустимых для бизнеса событий, добавили новый критический сценарий — кражу персональных данных.

Ранее в список входили хищение денег со счетов компании и внедрение условно вредоносного кода. Вознаграждение за исследование таких сценариев может достигать 60 млн рублей.

Расширилась и программа Positive bug hunting, посвящённая поиску уязвимостей в веб-сервисах компании. Теперь в её область действия входят все основные домены и поддомены, доступные исследователям. Общая сумма выплат в рамках этого проекта уже превысила 1,2 млн рублей.

В компании подчёркивают, что рассматривают собственные продукты как эталон защищённости — и именно поэтому активно привлекают независимых экспертов к их проверке. По словам руководителя департамента ИБ Positive Technologies Виктора Гордеева, запуск отдельных программ для каждого продукта и расширение периметра исследований позволит эффективнее тестировать весь продуктовый портфель и быстрее находить наиболее актуальные уязвимости.

В итоге выигрывают обе стороны: баг-хантеры получают прозрачные правила и серьёзные вознаграждения, а разработчики — дополнительный уровень проверки своих решений в боевых условиях.

Не светите ключами в соцсетях: по фото можно напечатать рабочий дубликат

Фотография с ключами в руке может оказаться не такой милой, как кажется. Специалист по кибербезопасности Эван Оттингер показал, что по обычному снимку ключа из соцсетей можно сделать рабочую копию, для этого не нужна лаборатория злодея из кино.

Оттингер — типичный ред тимер, по заказу компаний имитирует реальные атаки, проверяет защиту сетей и иногда даже физическую безопасность зданий.

По его словам, люди постоянно выкладывают фото ключей — от обычных пользователей до знаменитостей. А зря.

Если на фотографии хорошо виден профиль и нарезка ключа, их можно проанализировать, восстановить геометрию и изготовить копию. Оттингер использовал открытые инструменты для декодирования ключей, графический редактор и 3D-принтер. В итоге эксперимент сработал: пластиковый ключ, напечатанный по данным со снимка, оказался пригоден для открытия замка.

 

Сам исследователь признаёт, что сначала тоже сомневался: «Да ладно, не может же это реально работать?» Оказалось, что может. Более того, для подготовленного человека весь путь от скачанного фото до готового ключа может занять около 10-15 минут.

Главная проблема в том, что такой способ не похож на взлом в привычном смысле. В отличие от отмычек, использование копии ключа не оставляет очевидных следов на замке. Для прохожих всё выглядит нормально: человек просто открыл дверь своим ключом. Именно такие сценарии, по словам Оттингера, и заставляют специалистов по безопасности нервничать.

Ключи нужно воспринимать как пароли. Их не показывают крупным планом, не выкладывают в сторис и не держат перед камерой ради красивого поста. Если очень хочется поделиться радостью о новом доме, лучше закрыть зубцы ключа рукой, размыть их или вообще сфотографировать брелок.

Оттингер также советует не полагаться только на один замок. Камеры, сигнализация и другие уровни защиты делают дом менее удобной целью.

RSS: Новости на портале Anti-Malware.ru