среда, 22 июля 2015 г.

СОИБ. Анализ. Платформы для Bug Bounty

Каждая приличная западная ИТ-компания или вендор (Google, Microsoft, Twitter, Tesla, Github, Blogger, Drupal, eBay, Facebook, Instagram и многие другие) обязательно проводит программы выплаты вознаграждений за найденные уязвимости – Bug Bounty, в дополнение к внутреннему и внешнему аудиту ИБ. Это позволяет максимально уменьшить риски для их клиентов.  


Последнее время программы Bug Bounty запускают также многие российские компании такие, как  Вконтакте, Yandex, Mail.ru, QIWI, Telegram, Anistar.ru, Ok.ru, Крайинвестбанк, Рокетбанк и т.п.

Когда принимается решение о запуске программы выплаты вознаграждений за найденные уязвимости, компании необходимо определится будут ли они самостоятельно проводить организовывать программу или использовать готовую специализированную под Bug Bounty площадку.  

При проведении открытого конкурса своими силами, на компания должна быть готова взять на себя дополнительные организационные мероприятия:
·         разработать программу вознаграждения
·         разработать программу ответственного разглашения
·         привлечь исследователей ИБ
·         организовать взаимодействие с исследователями ИБ
·         отфильтровывать спам отчеты, некорректные отчеты, неправильно оформленные отчеты, дублирующийся отчеты об уязвимостях
·         юридически оформлять выплаты
·         готовить сводные отчеты для руководства об эффективности программы

Если используется готовая площадка Bug Bounty, то она берет эти мероприятия на себя за небольшой процент.  Есть достаточно большое количество англоязычных площадок – самые популярные hackerone.com и bugcrowd.com и единственная Российская http://bughunt.ru/

Преимущества западных площадок, таких как hackerone.com: большое количество зарегистрированных исследователей (более 1600), публичная история участия исследователей, удобные для исследователей программы разглашения, удобная система онлайн взаимодействия площадки, спецов заказчика и исследователей.

Преимущества Российской площадки bughunt.ru: только русскоязычные исследователи и отчеты об уязвимостях (как следствие легче обрабатывать отчеты и устранять уязвимости), возможность более детальной проверки участников и проведение программ с ограниченным доступом по усмотрению заказчика, независимость от санкций и западных экспортных ограничений, инвестиции в развитие русскоязычного сообщества ИБ специалистов, более простое оформление договора об оплате вознаграждений, возможность получения сводного отчета от лицензиата ФСТЭК, ФСБ по результатам программы Bug Bounty.

Призываю всех владельцев серьёзных ИТ продуктов, ИС и онлайн сервисов планировать и запускать правильные программы поиска уязвимостей. Но не забывать при этом и про другие варианты тестирования защищённости и поиска ошибок.

Другие публикации в блогах на тему Bug Bounty:








четверг, 9 июля 2015 г.

СОИБ. Анализ. Серьезные недостатки защищенного соединения с web приложениями

Есть сложно выявляемые уязвимости и недостатки безопасности web приложений, которые приходится искать в рамках дорогостоящих аудитов или пентестов.  А есть такие, в которые вляпываешься зайдя один раз обычным браузером на сайт. Ко второму случаю относится неправильный SSL / TLS-сертификат для обеспечения для обеспечения защищенного взаимодействия между сервером и клиентом по протоколу HTTPS или неправильная конфигурация группы протоколов SSL / TLS на сервере.

Хотелось бы показать, что проблема актуальна, но не светить при этом конкретных заказчиков, поэтому я сделал отдельный экспресс анализ публично доступной информации (та информация, которую сервис выдает каждому клиенту) о сертификате и настройках SSL / TLS 24-х для таких важных с точки зрения ИБ-шника сайтов, как: личные кабинеты и профили в сообществах по ИБ, русскоязычные партнерские/клиентские разделы ИБ вендоров, личные кабинеты у операторов связи,  учебных центров, порталы гос. органов, торговые площадки, интернет банки, интернет магазины.

Анализ проблем с сертификатами и вариант их решения приводится в отдельной статье, а ниже анализ по ошибкам конфигурации SSL / TLS




С одной стороны, использование протокола HTTPS – это де факто стандарт при защите взаимодействия с клиентов и его надо использовать, с другой стороны, при неверных настройках HTTPS, мы получаем лишь иллюзию защищенного взаимодействия.
   
Приложение. Форумы / площадки для общения ИБшников
Надо отметить что такие площадки как Securitylab.ru, club.cnews.ru не поддерживают https в принципе. Да и судя по настройкам SSL / TLS остальных порталов – сапожники без сапог.

















Приложение. Производители ИБ решений. Учебные центры по ИБ
Надо отметить что порталы таких вендоров и учебных центров как Securitycode.ru, infosystems.ru, academy.it.ru не поддерживают https в принципе.












Приложение. Торговые площадки, фонды, интернет магазины









Приложение. Банки





Приложение. Операторы связи









Приложение. Гос. органы и ГИСы