Video: USD/RUB 💲 прогноз курса на сегодня 26 ноября 2020 💯 Курс Доллара прогноз (Rugsėjis 2024)
Apsaugos tyrėjai, kurie specializuojasi įsiskverbimo testavime, dienas (ir naktis) praleidžia bandydami sulaužyti apsaugos sistemas. Jei jie randa gaminio saugos skylę anksčiau nei blogi vaikinai, produkto gamintojui suteikiama laiko išstumti pleistrą. Kas jame yra tyrėjui? Galbūt 100 000 USD vertės klaidų lazdelė, jei problema buvo „Microsoft“ produkte. Apsaugos tarnybų ir įsiskverbimo tikrinimo firmos „High-Tech Bridge“ tyrėjai praneša, kad „Yahoo“ taip pat siūlo klaidą. Pirmasis patikrintos saugumo klaidos reporteris gauna… 12, 50 USD, išperkamų tik „Yahoo“ įmonės parduotuvėje už „firminius marškinėlius, puodelius, rašiklius ir kitus aksesuarus“. Tikrai, „Yahoo“?
Greitai nulaužta
Svetainėje „Saugumas„ Yahoo “pateikiami pranešimai apie bendrovės jau atliktus saugos veiksmus kartu su patarimų rinkiniu. Asmenys, manantys, kad jų sąskaitos buvo nulaužtos ar pažeistos, gali kreiptis į „Yahoo“ iš šio puslapio pagalbos. Jame taip pat teigiama: „Jei esate saugumo bendruomenės narys ir turite pranešti apie techninį pažeidžiamumą, susisiekite su šiuo adresu: [email protected]“.
Norėdami įvertinti „Bug Bounty“ sistemą, „High-Tech Bridge“ tyrėjai atsisėdo ir ėmė ieškoti saugumo skylių „Yahoo“ svetainėse. Jie iškart susirado, bet apie tai jau buvo pranešta. Per kitas porą dienų jie rado dar tris svetainių scenarijų pažeidžiamumus, visus naujus. (Ar tai savaime nėra šiek tiek nerimą keliantys dalykai?) Anot pranešimo, „kiekviena iš aptiktų spragų leido pakenkti bet kuriai @ yahoo.com el. Pašto paskyrai tiesiog siųsdama specialiai sukurtą nuorodą prisijungusiam„ Yahoo “vartotojui“. Kai vartotojas spustelės šią nuorodą, žaidimas bus baigtas.
Patys „Yahoo“ tyrėjai patikrino, ar šie pažeidžiamumai tikrai egzistuoja (nuo to laiko jie buvo pašalinti). Jie pasiūlė tyrėjų komandai nuoširdų padėką ir 12, 50 USD premiją už klaidą, kurią galima išpirkti įmonės parduotuvėje. Tyrėjai nebuvo įspausti; ataskaitoje teigiama: „Šiuo metu mes nusprendėme atsisakyti tolesnių tyrimų“.
Didesnės sumos
Už kai kurias ataskaitas „Microsoft“ sumokės 100 000 USD lazdelę. „Facebook“ išmokėjo daugiau nei milijoną dolerių. „Apple“ nemoka už klaidų sumas, bet už „atsakingą atskleidimą“ apdovanoja šlove. Man „Apple“ grynųjų pinigų tik šlovės politika atrodo geriau, nei apdovanojimas už „chump“ pakeitimą.
„„ Yahoo “tikriausiai turėtų peržiūrėti savo santykius su saugumo tyrinėtojais“, - komentavo Ilia Kolochenko, „High-Tech Bridge“ generalinė direktorė. „Sumokėti kelis dolerius už pažeidžiamumą yra blogas pokštas ir jis nemotyvuos žmonių pranešti apie jų pažeidžiamumą, ypač kai tokius pažeidžiamumus galima lengvai parduoti juodojoje rinkoje už daug didesnę kainą“. Jis daro išvadą, kad jei „Yahoo“ neišleis daugiau lėšų įmonių saugumui, „nė vienas„ Yahoo “klientas niekada negali jaustis saugus“.
Kitos kompanijos reikalavo išprokavimo, kad suprastų, kad klaidų sumos atsiperka dideliu laiku. Prieš keletą metų „Facebook“ pasiūlė vos 500 USD. Visai neseniai vienas tyrėjas, „Facebook“ neigęs atleidimą, demonstravo savo atradimą paskelbdamas ant Marko Zuckerbergo sienos. Brianas Martinas, atviro saugumo fondo prezidentas, pažymėjo, kad "net" Microsoft ", kuri buvo labiausiai pagarsėjusi dėl klaidų pašalinimo programų, suprato savo vertę ir šoktelėjo į priekį nuo likusiųjų, siūlydama iki 100 000 USD." Jis tęsė sakydamas: „Kai kurios iš šių bendrovių savo prižiūrėtojams moka daugiau pinigų, kad sutvarkytų savo biurus, nei apsaugos tyrinėtojai, nustatantys pažeidžiamumą, kuris gali kelti pavojų tūkstančiams jų klientų“.
Aš turiu sutikti. Jei pardavėjai nemokės už saugumo tyrinėtojų atradimus, tikrai yra ir kitų. Mes nenorime, kad tie protingi tyrinėtojai kreiptųsi į Tamsos pusę norėdami pamaitinti savo vaikus.
