Компания
342,22
рейтинг
25 октября 2011 в 17:52

Разное → Месяц поиска уязвимостей Яндекса из rss

Яндекс уделяет большое внимание вопросам безопасности данных своих пользователей. С целью популяризации информационной безопасности в интернете, мы объявляем месяц поиска уязвимостей — предлагаем всем желающим попытаться найти уязвимости в сервисах Яндекса. Победитель получит  $5000.

В течение месяца мы будем принимать сообщения об обнаруженных уязвимостях и 25 ноября 2011 года на конференции по информационной безопасности ZeroNights подведём итоги конкурса. 


Где искать

На сервисах Яндекса, расположенных в доменах:
  • *.yandex.ru, com, com.tr, kz, ua, by, net, st;
  • *.ya.ru.
  • *.moikrug.ru.

А именно — на сервисах, которые хранят, обрабатывают или каким-либо образом используют конфиденциальную информацию пользователей. Примерами конфиденциальной информации могут быть аутентификационные данные, переписка, личные фото- и видеоальбомы.

Что искать

Любые уязвимости, эксплуатация которых может привести к нарушению конфиденциальности, целостности или доступности данных пользователей. Например уязвимости, которые делают возможными следующие виды атак:

  • межсайтовый скриптинг (XSS);
  • межсайтовая подделка запросов (CSRF);
  • небезопасное управление сессией;
  • различного рода инъекции;
  • ошибки в механизмах аутентификации и авторизации, способствующие обходу этих механизмов. 

Не принимаются к участию в конкурсе сообщения об уязвимостях:
  • сетевой инфраструктуры Яндекса (почтовые серверы, jabber, FTP-серверы и так далее);
  • сторонних сайтов и сервисов, взаимодействующих с Яндексом;
  • сервиса Яндекс.Деньги;
  • пользовательских аутентификационных данных (например, слабые пароли).

А также об уязвимостях, приводящих к возможности совершения DoS- или DDoS-атак, и об использовании техник социальной инженерии, например фишинга.

Но если вы найдёте подобную проблему, пожалуйста, всё равно сообщите нам о ней, мы будем вам очень благодарны.

Как сообщать о найденных уязвимостях

Детальное описание проблемы отправляйте письмом на security-report@yandex-team.ru. Форма свободная, однако, чтобы мы точно вас поняли, обязательно укажите:

  • название сервиса, на котором обнаружена уязвимость;
  • имя уязвимого скрипта, функции или передаваемого параметра;
  • пошаговое описание действий, которые должны быть выполнены для воспроизведения уязвимости.

Вы можете также приложить к письму скриншоты, если считаете, что это повысит наглядность.

Все желающие могут воспользоваться нашим PGP-ключом для шифрования сообщения.

Ограничения

  • тестировать и демонстрировать уязвимость разрешается только на своей тестовой учётной записи. Взламывать чужие учётные записи ни в коем случае нельзя;
  • в течение 90 дней с момента отправки информации об уязвимости в Яндекс нельзя раскрывать подробности о ней третьим сторонам, в том числе публиковать их в открытых или закрытых источниках. В течение этих 90 дней участник также обязуется приложить разумные усилия для того, чтобы информация об уязвимости не стала доступна третьим сторонам.


Что происходит после отправки сообщения

Отправляя нам письмо с описанием уязвимости, вы автоматически становитесь участником конкурса. Мы можем связаться с вами, чтобы уточнить контактные данные.

Итоги конкурса и приз

Группа экспертов из службы информационной безопасности Яндекса проанализирует все присланные уязвимости. 25 ноября 2011 года на конференции по информационной безопасности ZeroNights мы подведём итоги конкурса.
Участник, нашедший и первым сообщивший о самой критической, с нашей точки зрения, уязвимости получит приз — $5000.
С  победителем конкурса мы свяжемся до объявления итогов и пригласим на конференцию.

Можно ли рассказать всем об обнаруженной уязвимости, если вы не победили

Любой участник конкурса имеет право раскрыть детали обнаруженной уязвимости только спустя 90 календарных дней с момента отправки сообщения в Яндекс.

Подробнее об участии в конкурсе читайте в Положении.

Служба информационной безопасности Яндекса..
Автор: @rssbot RSS: clubs.ya.ru/company/replies.xm...
Яндекс
рейтинг 342,22

Комментарии (61)

  • +2
    А чего обделили yandex.ua?
    • +2
      Просто пропустили случайно. Конечно, оно тоже входит в зону конкурса.
  • +40
    Нормальные компании не конкурс устраивают, а за каждую найденную уязвимость платят. Удачи вам.
    • +1
      Солидарен. Лучше бы за каждую платили.
      • +19
        Наверное, боятся разориться!
    • +9
      Решили начать с конкурса — что в этом плохого? На западе Гугл оплату уязвимостей практикует, на Фейсбук. В России это сравнительно новая тема.
      • +8
        Больше похоже на желание задешево собрать кучу своих уязвимостей.
        • +2
          А что в этом плохого? Выигрывает и компания и пользователи.
          • +1
            Но не исполнители
            • +1
              Исполнители — отчасти те же пользователи.
            • +2
              А для кого-то найти уязвимость уже доставляет радость, повышая чувство собственной важности.
          • –1
            Плохого не знаю, но политика выйгрышна только для компании. 5к$ для них — ерунда, а вот куча уязвимостей, и работа большого количества специалистов над поиском багов стоит куда больших затрат.
            • +5
              Узко смотрите. Во-первых, если конкурс оправдает себя, то вполне возможно, что ребята из Ya и перейдут на оплату за каждый найденный баг (Гугл так же не сразу и не за все платил).
              Во-вторых, никто не заставляет большое количество специалистов тратить свое время на охоту за багами. Всегда рассматривал подобные программы как приятное дополнение к необыкновенно притягательному процессу исследования системы. Ну и, в-третьих, такие конкурсы гораздо лучше чем просто тихие фиксы дырок безо всяких «спасибо» и со всякими «ачоэтовынашусистемуломаете! Алло, милиция?!»
  • +9
    Неоткрытая система сообщений вызовет много непонимания и критики. Представим, что некто первым сообщил об уязвимости. После него о ней же сообщили ещё несколько человек. Даже если они сразу получают сообщение о том, что данная уязвимость известна, нет доказательства, т.е. источника, независимого от организации конкурса, говорящего, что первый человек действительно сообщил об этой уязвимости.

    Лучшим решением была бы открытая публикация каждого зашифрованного письма с описанием от каждого, а ключи предоставляются через месяц с начала.
    • +2
      Опередили меня, я также считаю
  • +6
    Согласен с вышесказанным. Во-первых уязвимости искать просто невыгодно, вот если бы оплата была за каждую (не 5000, а соизмеримые с приложенными усилиями деньги) — другое дело. Во-вторых очень велика вероятность повторения багов. То есть достаточно представить что 100 специалистов (условно) ринулись искать уязвимости, специалист №1 нашел уязвимость X, велика вероятность того что специалист №50 найдет ту же самую и отправив ее в Яндекс не может быть уверен что он полноценный участник конкурса, так как «авторство» найденного бага будет присвоено специалисту №1.
  • +10
    Не принимаются к участию в конкурсе сообщения об уязвимостях: сервиса Яндекс.Деньги;
    Интересно почему?
    • +14
      Потому что на них можно и без конкурса неплохо навариться же.
    • +2
      Это другая компания, насколько я знаю.
      Бренд один, компании 2.
    • 0
      Уязвимости, найденные в Яндекс.Деньгах, не распространяются на Яндекс, так как у Денег свой, отдельный механизм аутентификации пользователей (платежный паспорт). Кроме того, никто не может гарантировать, что под видом участников конкурса не будут действовать мошенники.
  • +3
    Похитевшему больше всех из яндекс.кошельков доплачиваем еще $5000, а остальных сдаем в милиполицию для вручения оставшихся призов. :)
  • +3
    По-моему, намного выгодней некритичные уязвимости описывать в блоге Информационная безопасность и получать за каждую статью 1000 рублей :) Кстати, CSRF уже один нашел, убивает все настройки одного очень даже популярного сервиса yandex…
    • +2
      Такое поведение несколько неэтично. Я думаю, что администрации Хабрахабра стоит отказывать в выплате гонорара за статьи о дырках, о которых не было минимум за месяц до публикации сообщено в компанию, дырка в сервисе которой описывается.
      • +1
        Вы можете заметить, что все мои статьи сопровождаются комментарием о том, что я сообщил о проблеме не менее, чем за месяц.
        • +1
          Статья про рекапчу: ни слова о передаче данных о проблеме Гуглу.
          Статья про мейл: передача данных о проблеме менее, чем за месяц (немногим менее, да).

          Но я вообще не о вас, а об описанном подходе. Вы в нём не написали ничего о том, что уязвимости надо передавать в уязвимый сервис.
          • 0
            По гуглу писал им очень давно, кстати до сих пор не исправили. А по поводу конкурса, я просто пытался намекнуть, что надо платить хотя-бы 1000 рублей за уязвимость, тогда есть смысл писать на конкурс, ведь в нем условие 90 дней не публиковать. А так, написал в сапорт яндекса, подождал месяц и статью на хабр, 1000 рублей в кармане. А вероятность, что твоя уязвимость победит практически нулевая.
            • +1
              Намеки «заплатите нам за всё» выше есть и открытым текстом. Мы отвечаем (в том числе и выше), что это пробная попытка. Если опыт Яндексу понравится, мы можем расширить и углубить программу.
              • 0
                Должны быть поощрительные призы, хоть футболки, главное ведь не деньги.
                • +2
                  А что, кстати, главное? Призы? Или признание? Или процесс исследования системы? Или сознание, что ты помог защитить миллионы пользователей?
                  • 0
                    Целевая аудитория конкурса, те, кто и так получает кайф от «процесса исследования системы». Скорее всего у них уже все в порядке с признанием и хорошей работой.
                    Я за то, чтобы было все по-честному. Если Яндекс платит собственным сотрудникам зарплату? У них есть план по поиску узявимостей? Необходимо разделить среднюю зарплату на среднее кол-во найденных уязвимостей и платить, скажем, на Яндекс.Деньги. Даже главный приз не нужен, лучше уж его разделить, на всех, а из критериев оставить только CVSS + популярность сервиса и убрать «субъективный фактор», который написан в правилах («уровень сложности обнаружения»). Что за комиссия, как она будет его оценивать?
                    • +1
                      Вы не ответили на мой вопрос. Вместо ответа призвали разделить на всех.

                      Можете всё-таки ответить?
                      • 0
                        Я же сказал, главное чтобы все было по-честному
                      • 0
                        Попробую уточнить свой ответ, все люди будут работать, все будут искать уязвимости и присылать Яндексу, а поощрит Яндекс только одного.
                        Яндекс же не платит зарплату только самому лучшему специалисту? Конкурс полностью закрытый, наличие субъективного фактора в правилах, все это не очень честно по отношению к тем, кто потратит свое время на поиск, и что самое главное найдет уязвимость.
                        • +6
                          Дорогой aig,

                          Позволь в твоем лице ответить всем людям, которые задают подобный вопрос.

                          Да, конечно, мы понимаем, что хорошим тоном считается платить за любую обнаруженную уязвимость, всем людям, ее обнаружившим. Но мы также понимаем, что это поле довольно новое для нас, так как до этого в России никто подобного мероприятия не объявлял. Мы сделали конкурс как первый, пробный подход к снаряду. А у конкурса может быть много участников, но должен быть один победитель. Надеюсь, это понятно.

                          Конечно, мы всегда благодарили тех, кто пишем нам об обнаруженных уязвимостях. Мы никогда не игнорировали таких людей и конкурс — не повод начать их ингорировать. Мы оставляем за собой право премировать их и в рамках данного конкурса — сувенирами ли, деньгами, или приглашением на конференцию — это неважно.

                          Важно то, что от результатов ближайшего месяца во многом зависит, ступим ли мы плотно на дорогу, протоптанную Мозиллой, Гуглом и Фейсбуком, или пока еще потопчемся как есть.

                          Спасибо за понимание.
                          • 0
                            Мне кажется, что если этого не было и вы хотите попробовать, то это не повод делать так, как вам удобно. Т.е. это можно сделать так, но при этом вызовет массу вопросов и нареканий. Потом вы конечно можете сказать, что дескать мы попробовали и не получилось, но зачем ставить заранее условия, которые явно хуже того, что было у других компаний, хоть и не российских. Т.е. отговорка, что мы хотим попробовать — она очень слабая. И это действительно отговорка, потому что есть положительные опыты других компаний, которые делали совершенно по-другому. Вам намекают на то, что это не очень справедливо, а по большому счету убивает изначально желание начинать работать в этом направлении. Это работа, и работа непростая. И если вы привлекаете людей на эту работу, то она должна быть оплачена. Почему? Да потому что у вас в штате есть люди, которые этим занимаются и которые получают за это вполне реальные деньги. Такая постановка задачи как бы намекает на ряд моментов. Например: мы не знаем, сколько у нас уязвимостей, возможно, что их много; поэтому мы решили тут немножко сэкономить, во-первых, чтобы не набирать себе высокооплачиваемых людей по безопасности, а во-вторых, чтобы не разориться на выплачивании за каждую уязвимость; вот когда мы узнаем какое их количество, вот тогда поделим одно число на другое и тогда будет другой разговор. Другой причины я не вижу. Извините.
                            • +1
                              > И это действительно отговорка, потому что есть положительные опыты других компаний, которые делали совершенно по-другому.

                              В России такого опыта пока что ни у кого нет, извините.
                              • 0
                                А что мешает воспользоваться опытом зарубежных коллег?
                • +2
                  Футболками и сувенирами мы поощряли всегда. Сейчас — первая попытка выйти на новый уровень.
      • +2
        Меня минусуют те, кому кажется, что «публиковать статьи о дырках, не сообщая о них в уязвимый сервис заранее» этично, я правильно понимаю?
        • 0
          там в комментариях я писал, что все было отправлено давно, кстати до сих пор не исправлено.
          • 0
            P.S. Я тоже против открытия 0-day уязвимостей. Но я за то, чтобы людям платили за труд. Пусть даже 100 рублей, но платили.
            • +1
              Это конкурс. Первый пробный подход к снаряду. Если опыт окажется удачным, вполне можем запустить оплату на постоянной основе.
          • +1
            Где там? Не понял вас.
  • –2
    >Не принимаются к участию в конкурсе сообщения об уязвимостях:
    >…
    >сервиса Яндекс.Деньги;
    >…

    Типа — «Мы и сами знаем там кучу багов, не ищите»?
    • 0
      Чуть выше ответили на похожий вопрос. Причин несколько, одна из них — никто не может гарантировать, что под видом участников конкурса не будут действовать мошенники.
  • –3
    Один приз и весьма скромного размера… Или команда яндекс.секьюрити настолько хороша или кто-то жадничает :)
    Мне интересно, что предпримет яндекс, если кто-либо объявит конкурс на таких же точно условиях, но с удвоенным бюджетом?
  • +5
    Отличная инициатива. Насколько я помню, впервые в практике российских компаний.
  • +5
    Забавно, сколько недовольных ресерчеров набежало. Яндекс одной из первых российских компаний предложил платить за найденные уязвимости, пусть и сейчас4 в рамках конкурса. Заплатить кстати не такие уж и маленькие по российским меркам деньги. Раньше и этого не было. А так получаются, что компания не платит деньги за найденнные дыры — она плохая. Начинает платить — всё равно плохая. Парадокс! Переступив через свои моральные принципы, с большой неохотой и только после многочисленных уговоров и под страхом карательных мер пошёл отправлять XSS-ку…
  • +1
    очередной развод от яндекса?)
    за мою найденную sql инъекцию (причем в очень важном месте), за которую «о, чудо» обещали чуть ли не полгода назад футболку(!) так я и не получил :) что говорить о $5000?
    • 0
      Расскажите, пожалуйста, мне в личку, с кем вы переписывались и на чём переписка заглохла.
      • 0
        беру свои слова обратно — сегодня получил, причем даже больше чем обещали :)
        спасибо :)
  • –2
    Хочу заметить, что в последний раз, когда я проверял, в России валютой служили рубли.
    Кстати, в директе и маркете пора бы тоже перейти на рублёвое счисление с мифических у.е.
  • 0
    Любой участник конкурса имеет право раскрыть детали обнаруженной уязвимости только спустя 90 календарных дней с момента отправки сообщения в Яндекс.

    Имхо необходимо конкретизировать — что можно, а что нельзя раскрывать.
  • 0
    Какой «приз» получит тот хакер, который завалил вчера конкурс?
    • 0
      Что вы имеете в виду?
      • 0
        Вот это
        • +1
          Испортить людям соревнование — это как раз пример того, как действовать не надо. Лучше направить силы на конкурс и выиграть приз. А тот «хакер» получит лучи позора :)
  • 0
    О! А футболки ещё остались?
    • +1
      Остались :)
  • 0
    Токса а почему вы в яндекс пошли работать?

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.

Самое читаемое Разное