Женя респектует нам, мы респектуем Жене. bugbounty.bi.zone.

Дима Агарунов, ][akep.ru

Интересная дискуссия прошла на питерском ИТ-Диалоге. Я еще про нее в блоге напишу, а пока по горячим следам про BugBounty. На фоне новостей Минцифры про запуск BugBounty для Госуслуг я задал участникам вопрос, а готовы они идти дальше и выставлять свои решения для публичного легального взлома?

Региональные министры ИТ предложили рейтинговать софт в реестре отечественного ПО и, в зависимости от того, проходил вендор ПО программу BugBounty или нет, можно повышать рейтинг софта и давать ему больше преференций.

Виталий Сергеевич Лютиков (ФСТЭК) считает, что выставлять ГИС (как это будет делать Минцифры) для BugBounty можно, но только после проработки всех условий и ограничений и аппробации подхода. А вот вендорам было бы неплохо, если они не боятся, выйти на BugBounty-платформы. И может быть, когда-нибудь, такое требование появится в нормативке.

Так что не исключаю, что в 2023-м году участие в BugBounty может стать обязательным либо по направлению ИТ-разработки, либо ИБ. Ждемс…

Молодая кровь есть: Эльдар, овнер канала digital razvedka, автор журнала Хакер, спикер Код ИБ.

Статья Эльдара в Хакере: https://xakep.ru/2022/08/19/vk-clickjacking/

Эльдару 13 лет.

Немного статистики за 2022 год от багбаути платформы HackerOne!

Поиск уязвимостей
- 92% исследователей безопасности находят уязвимости, которые не могут найти автоматизированные средства.
- 65.000 уязвимостей было найдено, что на 21% больше, чем в 2021 году.
- Основная мотивация исследователей — это саморазвитие и деньги.

На исправление уязвимостей компании тратят в среднем от 35 до 47 рабочих дней. Но по индустриям этот срок может отличаться, к примеру:
- 11.6 дней на исправление в криптоиндустрии.
- 28.9 дней на исправление в медиа компаниях.
- 42.2 дней на исправление в ритейле и электронной коммерции.
- 49.7 дней на исправление в телекоме.
- 73.9 дней на исправление в медицинской сфере.
- 148.3 дней на исправление в авиационной и космической отрасли.

По количеству встречающихся веб-уязвимостей из OWASP Top 10 статистика, следующая:
1. Cross-site Scripting (XSS) (+32%)
2. Improper Access Control (-13%)
3. Information Disclosure (-27%)
4. Insecure Direct Object Reference (IDOR) (+13%)
5. Improper Authentication (+33%)
6. Privilege Escalation (+2%)
7. Code Injection (+26%)
8. Improper Authorization (+76%)
9. SQL Injection (-15%)
10. Server-Side Request Forgery (SSRF) (-18%)

Наибольшее внимание исследователи уделяют:
- Web-приложениям.
- API.
- Мобильным приложениям на Android.

Количество небезопасных конфигураций в отчетах выросло на 151%. "Проблемы не в коде, проблемы в развертывании и обслуживании".

Меры достаточны?
- 88% исследователей отмечают рост потенциальных поверхностей атаки.
- 32% исследователей считают, что компании недостаточно уделяют внимание проверкам уровня защищенности.

VK разместила свою программу по поиску уязвимостей (bug bounty) на платформе BugBounty.ru. Это третье подобное партнерство: летом 2022 компания объявила о сотрудничестве с платформой Standoff 365 от Positive Technologies, а в ноябре — с платформой BI.ZONE Bug Bounty. В программу VK входят 27 проектов: ВКонтакте, Одноклассники, Почта Mail.ru, RuStore и другие сервисы, которыми пользуются миллионы россиян. За каждую выявленную уязвимость исследователи безопасности могут получить от компании вознаграждения от трех тысяч рублей до 1,8 миллиона рублей в зависимости от уровня критичности угрозы.

Самая высокооплачиваемая в РФ публичная программа от ВК: https://bugbounty.ru/app/programs/vk

Хорошей охоты!

MPonCOTS PCI DSS от ноября 2022 года говорит что надо делать bug bounty, такие дела.

Коллеги из ПТ и Бизона решили прийти к русскоязычному термину багбаунти. Ок, добро пожаловать на багбаунти.рф.

OpenAI запустили публичную BB (на Bugcrowd)
https://thehackernews.com/2023/04/chatgpt-security-openais-bug-bounty.html?m=1, но репорты индусы потащили к нам.