Video: Mayonaise Talks About His Recon Workflow, How to Learn Different Topics, and How to Bug Bounty! (Kann 2024)
Sicherheitsforscher, die sich auf Penetrationstests spezialisiert haben, verbringen ihre Tage (und Nächte) damit, Sicherheitssysteme zu zerstören. Wenn sie eine Sicherheitslücke in einem Produkt finden, bevor die bösen Jungs es tun, gibt dies dem Hersteller des Produkts Zeit, einen Patch herauszudrücken. Was hat der Forscher davon? Vielleicht ein Kopfgeld von 100.000 US-Dollar, wenn das Problem bei einem Microsoft-Produkt lag. Forscher von High-Tech Bridge, einem Unternehmen für Sicherheitsdienste und Penetrationstests, berichten, dass Yahoo auch eine Bugs-Bounty anbietet. Der erste Reporter einer überprüfbaren Sicherheitslücke erhält… $ 12, 50, einlösbar nur im Yahoo-Store für "Firmen-T-Shirts, Tassen, Stifte und anderes Zubehör". Wirklich, Yahoo?
Schnell geknackt
Auf der Seite "Sicherheit bei Yahoo" finden Sie Informationen zu den Sicherheitsmaßnahmen, die das Unternehmen bereits ergriffen hat, sowie eine Reihe von Tipps. Personen, die glauben, dass ihre Konten gehackt oder kompromittiert wurden, können sich über diese Seite an Yahoo wenden, um Hilfe zu erhalten. Außerdem heißt es: "Wenn Sie Mitglied der Sicherheitsgemeinschaft sind und eine technische Sicherheitsanfälligkeit melden müssen, wenden Sie sich an: [email protected]."
Um das Bug Bounty-System zu evaluieren, setzten sich die Forscher von High-Tech Bridge zusammen und begannen, nach Sicherheitslücken in den Websites von Yahoo zu suchen. Sie fanden eine sofort, aber es wurde bereits berichtet. Im Laufe der nächsten Tage fanden sie drei neue Sicherheitslücken in Cross-Site-Skripten. (Ist das nicht ein bisschen beunruhigend für sich selbst?) Laut dem Bericht "konnten durch jede der entdeckten Sicherheitslücken alle @ yahoo.com-E-Mail-Konten kompromittiert werden, indem einfach ein speziell gestalteter Link an einen angemeldeten Yahoo-Benutzer gesendet wurde." Sobald der Benutzer auf diesen Link klickt, ist das Spiel vorbei.
Die Forscher von Yahoo haben bestätigt, dass diese Sicherheitslücken tatsächlich bestehen (sie wurden inzwischen behoben). Sie boten dem Forschungsteam ein herzliches Dankeschön und eine Auszeichnung in Höhe von 12, 50 USD pro Fehler, die im Laden des Unternehmens eingelöst werden kann. Die Forscher waren unbeeindruckt; In dem Bericht heißt es: "An diesem Punkt haben wir beschlossen, die weitere Forschung zu unterbrechen."
Größere Kopfgelder
Microsoft zahlt für einige Berichte ein Kopfgeld von 100.000 US-Dollar. Facebook hat über eine Million Dollar ausgezahlt. Apple zahlt keine Bug Bounties, sondern belohnt "Responsible Disclosure" mit Ruhm. Für mich scheint die No-Cash-Just-Fame-Politik von Apple besser zu sein als die Vergabe von Trottelgeld.
"Yahoo sollte wahrscheinlich seine Beziehungen zu Sicherheitsforschern überarbeiten", kommentierte Ilia Kolochenko, CEO von High-Tech Bridge. "Das Zahlen mehrerer Dollar pro Sicherheitsanfälligkeit ist ein schlechter Scherz und wird die Leute nicht dazu motivieren, Sicherheitsanfälligkeiten zu melden, insbesondere wenn solche Sicherheitsanfälligkeiten leicht auf dem Schwarzmarkt zu einem viel höheren Preis verkauft werden können." Er kommt zu dem Schluss, dass sich keiner der Yahoo-Kunden jemals sicher fühlen kann, wenn Yahoo nicht mehr für Unternehmenssicherheit ausgibt.
Andere Unternehmen mussten sich darüber im Klaren sein, dass sich Bug Bounties schnell auszahlen. Vor ein paar Jahren bot Facebook nur 500 Dollar an. In jüngerer Zeit hat ein Forscher, dem Facebook ein Kopfgeld verweigert hatte, seine Entdeckung an der Wand von Mark Zuckerberg gezeigt. Brian Martin, Präsident der Open Security Foundation, bemerkte: "Selbst Microsoft, das die bekanntesten Probleme mit Bug-Bounty-Programmen hatte, erkannte den Wert und setzte sich mit einem Preisgeld von bis zu 100.000 US-Dollar vom Rest ab." Er fuhr fort: "Einige dieser Unternehmen zahlen ihren Hausmeistern mehr Geld für die Reinigung ihrer Büros als Sicherheitsforscher, die Sicherheitslücken finden, die möglicherweise Tausende ihrer Kunden gefährden."
Ich muss zustimmen. Wenn Anbieter nicht für Entdeckungen von Sicherheitsforschern bezahlen, gibt es sicherlich andere, die das tun. Wir wollen nicht, dass sich diese klugen Forscher an die Dunkle Seite wenden, um ihre Kinder zu ernähren.
