Security Meetup в офісі Mail.Ru Group - як це було



Всім привіт! Мене звати Іра, я випусковий редактор у журналі Хакер. На початку грудня я побувала на Security Meetup в офісі Mail.Ru Group і хочу поділитися враженнями. Митап був присвячений програмам bug bounty. Перший доповідь зробила по відеозв'язку представниця авторитетного міжнародного хакерського співтовариства HackerOne. Вона розповіла про те, як компаніям організувати власну програму bug bounty c допомогою цього сервісу, а пентестерам прокачати навички і заробити грошей. HackerOne — це річ! По-перше, він полегшує життя представником компаній:
  • можна швидко і легко донести інформацію про проведення bug bounty до цільової аудиторії (адже якщо сайт з продажу, наприклад, наборів для вишивання, розмістить у себе на головній сторінці банер про bug bounty, відгуку від пентестеров він може не дочекатися)
  • не треба думати про те, як винагороди дійдуть до користувачів, фінансові питання бере на себе HackerOne

По-друге, цей сервіс захищає пентестеров від несправедливості з боку компаній. Якщо хакер знайде вразливість, а фірма не захоче за неї заплатити, то втрутиться адміністрація HackerOne і вирішить конфлікт між двома сторонами.

Логічніше було б поставити цей доповідь після того, як доповідачі з Яндекса, Mail.Ru Group і Badoo розповіли про ті проблеми, з якими вони стикалися під час організації програм з пошуку вразливостей. Адже люди, які не займалися подібною діяльністю, не мають поняття про складнощі, пов'язаних з проведенням bug bounty, і їм важко було відразу усвідомити вигоду, яку можна отримати від співпраці з HackerOne.

Володимир Дубровін (Mail.Ru Group) і Тарас Іващенко (Яндекс) розповіли про проведені їх компаніями програмах bug bounty. Вони відзначили наступні труднощі:
  • величезна кількість спаму (на сотню bug-репортов припадає 3-4 адекватних). Прим.: на HackerOne «хакерів»-спамерів банять, і це ще одна причина його використовувати.
  • перерахування винагород — дуже складний процес. Учасники трапляються зі всього світу. Деякі з них не мають банківських рахунків та електронних гаманців. З кожним доводиться індивідуально вирішувати це питання.
  • часто хакери надсилають звіти про вже знайдених до них уразливість і вимагають винагороду. Ці ситуації забирають моральні сили в організаторів програм. Але як сказав представник однієї з компаній, «хто перший встав, того і тапки».

З технічної точки зору мені здався найцікавішим доповідь Іллі Агеєва з Badoo. Якщо його попередники більше говорили про спільні проблеми проведення програм, то він докладно розповідав про конкретних знайдені вразливості. Зокрема, про те, як можна було, змінюючи число в адресному рядку, збільшувати баланс користувача (пам'ятаю, на рубежі 2006 і 2007 років ВКонтакте теж була подібна уразливість, що дозволяла накручувати рейтинг).

Дмитро Бумів, як завжди, був на висоті. Цей хлопець — чудовий доповідач, який запалює весь зал своєю енергією. Він розповідав про свій досвід участі в програмах bug bounty (згадував такі відомі імена, як Facebook, Twitter і т. д.) і знайдених ним баги. Ще Діма давав поради про те, як знаходити уразливості найбільш ефективно («Треба думати, а не вставляти в bug-report видачу сканера»). Шкода, що його доповіді було приділено мало часу, але вдало те, що його поставили в кінець. Завдяки такій розстановці доповідачів слухачі йшли додому з легким і позитивним настроєм.

Пару слів про організаційні моменти. В подарунок дали футболку з малюнком з нулів та одиниць. Я прийшла рівно о 19:00, і тому вдалося отримати футболку мого розміру. Для учасників було організовано окремий Coffee Point — чай, кава, печиво і газовані напої. Якщо знати куди йти (піднятися по скляній сходах навпроти спортзалу), то можна роздобути гарбуз і свіжовичавлений апельсиновий сік.

Брейк тривав цілих півгодини, а цього цілком достатньо, щоб погуляти по офісу Mail.Ru Group. У цьому «офісі мрії» можна побачити багато цікавого:
  • величезний телевізор на всю стіну, по якому безперервно транслювали серіал «Кремнієва долина» (за всі рази, що я бувала в Mail.Ru Group не бачила, щоб його хто-небудь дивився :))
  • столи для ігор (настільний футбол і т. д.)
  • куточки для усамітнення — поглиблення в стінах, в яких розміщені диванчики та подушки на них (в одних можна вільно розміститися утрьох, а деякі навіть удвох не влізеш… ну, тільки якщо дуже постаратися)
  • неймовірну панораму Москви з вікон 26 поверху
Незважаючи на те, що реєстрація на зустріч була відкритою, а участь безкоштовним, в залі було досить мало випадкових гостей. Більшість осіб у залі були мені знайомі (автори «Хакера», півтора десятка співробітників Mail.Ru Group, відомі представники російського сектора ІБ і просто люди, які надокучили на інших конференціях). Але можливостей для неформального спілкування учасників було небагато: час на питання після доповідей було сильно обмежено, а просто спілкування було відведено лише півгодинний брейк.

Цей митап був корисний насамперед співробітникам компаній, які проводили, проводять або проводитимуть програми bug bounty. Вони винесли з нього реально унікальні і практично корисні знання. Спеціальної інформації для пентестеров було несподівано мало. Деяким слухачам це не сподобалося. Втім, зміст доповідей відповідало анонсу заходу і люди знали, куди йдуть.

Відеозапис доповідей:



Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.