Вхід і реєстрація
×
Розробка · 3 липня 2014, 15:14 2193
Denis Kozenko, Senior Java Developer в DataArt

Поиск уязвимостей как заработок

Підписуйтеся на Telegram-канал «DOU #tech», щоб не пропустити нові технічні статті

Есть ли на рынке Украины компании, поощряющие поиск уязвимостей в своих сервисах, как это делают например Google и Facebook?
Мне интересен процесс поиска, но искать ради того, что бы потом выложить на хабр или доу и насладиться критикой в сторону компании, как-то не очень хочется, не по человечески это что ли. А вот укреплять изо дня в день сервисы компании, закрывая дыры и избавляя от утечки данных и потери репутации и получать за это оплату — совсем другой стимул.

Теми: безпека, вразливість
👍ПодобаєтьсяСподобалось0
До обраногоВ обраному0
LinkedIn
Дозволені теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter
Дозволені теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter
Vlad Styran Co-founder and CEO в Berezha Security Group 15.01.2015 12:37

Приват платит за уязвимости, но там куча условий. Например, чтобы получить вознаграждение, нужно стать его клиентом :) Лично знаю двоих людей, которым заплатили, одному из них — неоднократно. Точка входа вот здесь: privatbank.ua/safeness

Больше, к сожалению, таких фактов в Украине назвать не могу. Да и с расценками типа как у Привата, если они появятся, то заработать на жизнь этим будет сложно. Если тема волнует всерьез, советую смотреть в сторону bug bounty программ основных интернет-гигантов, благо почти все из них (за исключением МС, у которой немного другая стратегия) за это платят.

Неплохо продвинулись в заработке на чужих багах парни из BugCrowd, вот здесь у них список актуальных программ bug bounty bugcrowd.com/...bounty-programs

Если захочешь сделать в этой теме карьеру, то лет через пять смотри в с сторону Vupen, End Game и т.д., но это уже совсем другая история.

Відповісти
Підтримати
Vova Yatsyk Co-Founder, CTO в TheRaven 04.07.2014 15:40

Яндекс же проводить щось схоже
company.yandex.ru/security

Відповісти
Підтримати
Serge Medvedev Senior Engineer в Samsung R&D Institute Ukraine 04.07.2014 14:18

В Samsung R&D Institute есть соответствующая вакансия.

Відповісти
Підтримати
NewType 04.07.2014 13:55

«У вас такой замечательный сайт. Будет очень печально, если он будет взломан.»

Відповісти
Підтримати
Oleg Okunevych Ruby Engineer в Self employed 04.07.2014 12:36

Егору Хомякову это удалось, ищи уязвимости в фреймворках/языках и найдешь свое счастье среди девелоперского комьюнити. В дырах банков и фейсбучиков/мамбточкару счастья не найдешь

Відповісти
Підтримати
Олексій Пєніє 03.07.2014 17:14

Если ты найдёшь уязвимость, а тебя об этом не просили — это медвежья услуга. Даже если компании с этого польза.

Но даже если компания сама даёт канал для поиска уязвимости и оферту — всё равно в большинстве случаев твоя уязвимость отправится на суд... к тому, кто её создал. И не надо быть гением, чтобы предсказать что этот человек попытается отбрехаться. В результате: профит ноль, ты — в чёрном списке [надеюсь ты не был клиентом компании], а уязвимость — скорее всего осталась.

И дело тут в обычной психологии. Редкий руководитель понимает, как работает обратная связь, почему это выгодно, и почему противопоказано делать отрицательную обратную связь через те же каналы которыми осуществляется положительное воздействие.

В общем, не советую этим заниматься. А если уж так хочется — выбирай тёмную сторону. То есть если уж влез в чужую собственность — то бери всё что сможешь унести, и никогда никому об этом не хвастайся. Только в этом случае риск оправдан. Такова сэляви.

Відповісти
Підтримати
Denis Kozenko Senior Java Developer в DataArt 03.07.2014 17:22

Хм, мой опыт показывает обратное

Відповісти
Підтримати
Олексій Пєніє
Олексій Пєніє 03.07.2014 18:30

Ну так рассказывай, мы уже все с поп-корном.

Відповісти
Підтримати
Denis Kozenko
Tim Tretyak ASM, TS Consultant в Hewlett Packard Enterprise 03.07.2014 18:47
А если уж так хочется — выбирай тёмную сторону.
Это еще хуже. На той стороне давно правят бал реальные бандиты и уголовники и шансы очкарику ИТ-шнику попасть к ним в анальное рабство приближаются к 100%.
Времена хакеров-робингудов давно прошли.
Відповісти
Підтримати
Олексій Пєніє
Олексій Пєніє 03.07.2014 21:25

Расскажи это Дарту Вейдеру.

// Я и не говорил, что это лучше. Выгоднее — да. И безопаснее. Иначе — просто лох, на которого служба безопасности может поыесить вполне реальные ЧУЖИЕ преступления.
// Робин Гуд — вымышленный персонаж.

Відповісти
Підтримати
Tim Tretyak
Tim Tretyak ASM, TS Consultant в Hewlett Packard Enterprise 04.07.2014 12:35
Расскажи это Дарту Вейдеру.
Та же фигня, что с Ахметовым, например. Что ему сходили убийства, отжимы бизнесов и прочие шалости, совершенно не значит, что они сойдут качку Васе.
И на одного Ахметова (Вейдера) придется тысяч 300 Вась, которых повязали и влепили пожизенное или пристрелили «коллеги».
Выгоднее — да. И безопаснее.
По безопасности — примерно как бомбить ювелирки. Типа да, выгодно. Какое-то время.
Робин Гуд — вымышленный персонаж.
Да неужели? И Дед Мороз тоже? Не может быть!
Відповісти
Підтримати
Олексій Пєніє
Gabriel Angelos 03.07.2014 16:04

Один чувак нашел в уязвимость в Превед-е и его за это таскали по инстанциям разные уголовникиместная служба безопасности и выставили виноватым. Еще один хакер нашел дыру в facebook, на него тоже обрушилась кара. Так что особых отличий в подходе нет.

Сами подумайте, находя дыру вы подставляете под удар менеджера, архитектора QA-ев, PM-ом и прочих контролеров, которые прогавали ошибку.

В общем я вас не отговариваю, просто подумайте еще раз и изучите похожие примеры здесь и на просторах интернета.

Відповісти
Підтримати
Denis Kozenko Senior Java Developer в DataArt 03.07.2014 16:12

С Приватом парень сам винован, для демонстрации уязвимости можно было взть карту родственника или друга, а он взял карту случайного клиента, да и списал с нее не 1 грн, а что-то около 500. Такой клиент может запросто подать на ПриватБанк в суд да несанкционированное списание, потому и была такая буча.

Відповісти
Підтримати
Gabriel Angelos
Gabriel Angelos 03.07.2014 17:06

Карта друга — не демонстрация, он мог подсмотреть/спросить пин код или еще какой-то способ доступа, случайный клиент — норм вариант, тем более средства вернул.
Суд? на ПриватБанк? вы что смеетесь?
Во-первых эта шаражка настолько через ж*пу работает, что отследить что-то крайне трудно, во вторых у нас появилось правосудие?

Відповісти
Підтримати
Denis Kozenko
Denis Kozenko Senior Java Developer в DataArt 03.07.2014 17:12

Суть демонстрации уязвимости в получении конфедициальной информации или доступа к средствам жерты без авторизации, соответственно без пин кода или пароля. Здесь без разницы, чья это будет карта, друга или случайного клиента. А по поводу суда — есть международные платежные системы Виза и Мастеркард и они могут оштрафовать любой банк за нарушение правил, в том числе и Приват.

Відповісти
Підтримати
Gabriel Angelos
Gabriel Angelos 03.07.2014 17:14

В общем ждём вашу success story здесь или репортаж о вас в новостях

Відповісти
Підтримати
Denis Kozenko
Макс Матюхин программист в Badoo 03.07.2014 15:42

А вам обязательно украинские компании ?
Насколько я знаю наша компания платит за найденные уязвимости
corp.badoo.com/security

Відповісти
Підтримати
Denis Kozenko Senior Java Developer в DataArt 03.07.2014 15:50

Тоже интересно, спасибо за информацию, попробую

Відповісти
Підтримати
Макс Матюхин
Макс Матюхин программист в Badoo 03.07.2014 23:18

Кстати, вспомнил что в мамбе такая же программа есть — corp.wamba.com/...loper/security

Відповісти
Підтримати
Denis Kozenko
Tim Tretyak ASM, TS Consultant в Hewlett Packard Enterprise 03.07.2014 18:51

Судя по расценкам — несколько недель жесткого секса с кучей софта и ассемблером без каких-либо гарантий результата оцениваются примерно в 50-100 фунтов.
По таким ставкам даже пакистанцы говнокодить не будут.

Відповісти
Підтримати
Макс Матюхин
Макс Матюхин программист в Badoo 03.07.2014 20:10

Вы знаете какие-нибудь другие крупные проекты которые предлагают лучшие условия ?

Відповісти
Підтримати
Tim Tretyak
Tim Tretyak ASM, TS Consultant в Hewlett Packard Enterprise 03.07.2014 20:26

К сожалению — нет. Т.е. есть такие программы и от других производителей и от лабораторий, но там по условиям работать придется еще дольше (типа найди уязвимость в свежем хроме), что не меняет пропорцию время/деньги.
Собственно я это писал к тому, что как основное занятие поиск уязвимостей для продажи не прокормит.

Відповісти
Підтримати
Макс Матюхин
Iryna Volkodav engineer в e-commerce startup 03.07.2014 15:26

Евгению Докукину это вроде как удалось. Вот его ресурс: Websecurity — Веб безпека. На websecurity.com.ua/about можно познакомиться с тем, каким образом это ему удаётся.

Відповісти
Підтримати

Підписатись на коментарі

Не підписуватись
Скористайтесь акаунтом
×
з умовами використання сайту і політикою конфіденційності.