Еще один выстрел в ногу



imageКонцерн General Motors запустил собственную программу поиска багов и уязвимостей за «вознаграждение», сообщает securityledger.com. Изюминкой новой BB стало то, что деньги за найденные уязвимости концерн выплачивать не будет.

Предназначена программа для «White hat»-хакеров и специалистов по информационной безопасности, которым GM предоставит доступ к своему программному обеспечению. Запущена «Bug Bounty» в целях повысить интерес «White hat»-хакеров и других экспертов к работе над внутренним ПО компании. Фактической же «наградой» за участие станет отсутствие судебных исков к специалистам, нашедшим уязвимости.

Запущен этот «аттракцион невиданной щедрости» был 5 января 2016 года на веб-сайте Hackerone с обещаниями «вечной славы» для специалистов, которые примут в ней участие и передадут данные об уязвимостях безопасности программного обеспечения General Motors. О денежных вознаграждениях, как это обычно бывает при запуске BB-программ, на сайте не упоминается. Зато предлагается стать первым, кто «покроет себя вечной славой». General Motors не первый «старый капиталистический гигант», который приходит к IT-сообществу с подобными предложениями.

Между тем, чтобы не получить от автоконцерна многомиллионный иск, специалисту по безопасности или хакеру будет необходимо выполнять, к примеру, следующие требования:

  • Не вредить GM или их клиентам;
  • Предоставить подробный отчет о своей работе над их ПО;
  • Не ставить под угрозу жизнь или безопасность клиентов компании или ее услуги;
  • Не нарушать законов;
  • Обязаны предоставить детали местонахождения уязвимости для ее устранения силами GM;
  • Специалистам с Кубы, Ирана, Северной Кореи, Судана, Сирии и Крыма участвовать в программе запрещено.

Полное описание GM BB-program на скриншоте ниже:

image
За неделю желающих поучаствовать не нашлось

Учитывая рыночную капитализацию GM в 47$ млрд, отсутствие информации о денежном вознаграждении выглядит, как минимум, странно. Bounty Bug-программы стали серьезной статьей дохода для талантливых хакеров и специалистов по информационной безопасности и позволяют им зарабатывать сотни тысяч долларов в год, в тоже время повышая качество выпускаемого ПО крупными компаниями и софтверными гигантами. Услугами «вольнонаемных» безопасников активно пользуются такие компании как Yahoo, PayPal, Twitter, Facebook, Microsoft и другие.

Комментарии (30)


  1. AlexanderS
    12.01.2016 15:07
    +40

    А General Motors не хочет мне продать бесплатно машину, а я в свою очередь гарантирую в случае поломок или проблем отсутствие судебных исков, а ещё буду вечно прославлять автогиганта путём нанесения его названия и логотипа прям на всю машину целиком!
    Что?
    Мотивации мало!?
    Что?
    Денег зарабатывать хотите!?


    1. neomedved
      12.01.2016 16:34
      +2

      Если бы Вы были достаточно известной медийной личностью, то GM подумала бы о вашем предложении. Вопрос в том, что они несколько переоценили свой авторитет в области информационной безопасности.


      1. AlexanderS
        12.01.2016 18:04
        +2

        Сомневаюсь.
        Мне бы наверняка постарались впарить супермегаэкстралюксовый вариан какого-нибудь ихнего крутого спорткара в колёса которого инкрустированы брильянты))) Тем более мне, как известной персоне, нужна уже будет просто надежная и комфортабельная машина и если она будет ломаться постоянно… ууууу… =)


  1. EminH
    12.01.2016 16:59
    +13

    Глянул на пару сайтов (gm.com, gmc.com) — правильно делают что не платят, там на одних xss их обанкротить можно


    1. mtivkov
      12.01.2016 19:21
      +16

      Вот что получается. Вы исследовали их сайты на предмет уязвимостей и нашли их.

      Эти требования вы выполнили:

      Не вредить GM или их клиентам
      Не ставить под угрозу жизнь или безопасность клиентов компании или ее услуги;
      Не нарушать законов;
      Специалистам с Кубы, Ирана, Северной Кореи, Судана, Сирии и Крыма участвовать в программе запрещено.

      Теперь дело за малым — с вас еще нужно:
      Предоставить подробный отчет о своей работе над их ПО;
      Обязаны предоставить детали местонахождения уязвимости для ее устранения силами GM;


      Иначе, извиняйте, но раз не все требования выполнены, то будет к вам судебный иск с понятным исходом.
      И экстрадируют вас в США, сидеть в тюрьме…

      :)


  1. RubyFOX
    12.01.2016 17:08
    +2

    А что-то есть в законе про внесение изменений в программные коды… Поэтому как бы не нарушить закон внедряясь в их системы никто не сможет.


    1. alexxprg
      12.01.2016 17:34
      +4

      А ведь логично:

      Чтобы не получить от автоконцерна многомиллионный иск
      нужно
      Не нарушать законов;


  1. artyfarty
    12.01.2016 19:29
    +1

    Иногда мне боязно за вайтхет сообщество, по постам которых иногда складывается ощущение, что там стало нормальным мнение, что им все должны тонны денег (причём реально суммы какие-то астрономические). Читаешь очередной пост-скандал, как кому-то не выплатили баунти, начинаешь вчитываться, оказывается не не выплатили, а выплатили слишком мало, или еще куча всяких неприятных деталей вылезает.


    1. tyderh
      12.01.2016 21:35
      +13

      Знаете, найти серьезную уязвимость не так-то и просто. Даже в софте с исходниками.

      Вы пытались реверсить код? Так вот, мало того, что тут нужно найти ошибку в коде, исходников кода у исследователей банально нет.

      Мало? Держите: почти наверняка здесь реверсить нужно прошивки каких-нибудь стремных устройств без спецификаций.

      Стремных устройств автомобиля, который сам по себе стоит тонны денег.

      Т.е. мало того, что исследователю (немалого такого уровня) придется курочить свой автомобиль, так еще и работать за спасибо?

      К чему я веду? Это не исследователям нужны астрономические суммы, а компаниям. Потому что человек в здравом рассудке участвовать в такой компании не будет: он либо просто не возьмется за это, либо продаст откопанное на черный рынок.


      1. artyfarty
        12.01.2016 21:52
        +1

        Знаю.

        Пытался.

        Дак никто и не принуждает выбирать такую область деятельности. Аналогия, конечно, не лучший приём для спора, прошу меня извинить, да и сильно спорить я не хочу, но всё же. Представьте себе, я не знаю (возьму первую пришедшую в голову тему), сообщество людей, которые добровольно убирают снег с дорог, во дворах перед машинами там, перед гаражами. Вообще это дело каждого, свою машину откапывать, но многие относятся к этому весьма халатно. Ущербы от аварий из-за неубранного снега колоссальны. И вот эти люди добровольно убирают снег. А потом просят денег у водителей, у коммунальщиков. Потому что ну чо вы сами не убираете-то! Мы между прочим предотвращаем ущерб на колоссальные суммы!

        Теперь же, когда вайтхэтов «признали» при помоши баг баунти программ (ну а что делать-то остаётся, так ущерб от них хотя бы можно контролировать (см «хакер в столовой»), те вообще потеряли голову, и если раньше были треды «чувак зарепортил уязвимость, а на него открыли дело», то теперь стали «чувак зарепортил уязвимость, а его не осыпали тысячами баксов».


        1. tyderh
          12.01.2016 22:19
          +1

          Дак никто и не принуждает выбирать такую область деятельности.

          А кто говорил, что что-то принуждает?

          Представьте себе, я не знаю (возьму первую пришедшую в голову тему), сообщество людей, которые добровольно убирают снег с дорог, во дворах перед машинами там, перед гаражами.

          Представил, что дальше? Ситуация тут другая. Представьте лучше, что вы однажды заметили, что ваш сосед забыл закрыть гараж. Номер телефона вы его не знаете. Поэтому прикладываете кучу усилий: звоните другу, сторожа в это время гараж, закрываете его на принесенный другом замок, оставляете записку и свой номер телефона.

          А потом сосед ругается, грозя вас засудить/даже не благодарит. Обычно в такой ситуации откупаются деньгами, шоколадкой, но и благодарность — очень и очень хорошо.
          И тут же в интернете есть сотни историй о том, что они вернули утерянную вещь, но их даже не поблагодарили в ответ. Такие же офигевшие, как и whitehat, да?

          Так вот: рассказываете вы об этом соседе в ТСЖ, и никто ему больше этому соседу закрывать гараж не будет. Вот вся суть сообщений «Я нашел дырку в компании X, но они, гады, не заплатили».

          Но кидаться фиговыми аналогиями можно вечно, лучше отвечайте на аргументы.


          1. artyfarty
            12.01.2016 22:26

            Ваши аналогии очень хорошие. Всё так, и грустных историй о неблагодарности довольно много. Вот только не все это любят читать. Не зря блог «я негодую» погребен в пучины забвения.

            А от вайтхетов только это и слышно — все, все вокруг, ужасно неблагодарные! И те, кто нам не нравится неблагодарные! И даже те, кого мы считали хорошими, оказывается тоже неблагодарные! Вот и неясно, действительно ли мир такой неблагодарный именно к вайтхетам? Если да, с кем же что-то не так: с ними или со всем миром? Если же выясняется, что люди вообще неблагодарные, то о чём вообще говорить? Нет, надо плясать на грани закона, и еще жаловаться и жаловаться.


            1. VenomBlood
              12.01.2016 23:39
              +3

              Аналогии не верные, т.к. компании открывают bug-bounty программы обещая определенные суммы, а потом оказывается что платят либо по нижнему лимиту за серьезную уязвимость либо вообще платят еще меньше.
              Согласитесь, когда есть публичная оферта «платим от 10К до 100К», человек присылает уязвимость которая позволяет, например, скомпрометировать все личные данные пользователей и проводить неавторизованные транзакции, — а ему платят 10К или и того меньше. Возникает закономерный вопрос «если это — нижний лимит — что же тогда верхний? Или 100К — цифра для красного словца?», и закономерная обида, т.к. человек мог потратить месяцы на поиск этой уязвимости, а несоответствие оплаты в рамках предложеннйо вилки можно трактовать как false advertisement.


              1. artyfarty
                13.01.2016 00:06
                -3

                Не соглашусь. Завышенные ожидания — проблемы ожидаюшего. Вы же не ожидаете купить нужный вам предмет со скидкой 80%, когда видите заманушный рекламный лозунг «СКИДКИ ДО 80%!» А все потому что бизнес, как ни странно, не любит дарить деньги, и снова возвращаемся к тому, что проблема не в том что вайтхетов обделяют тысячами долларов, а оказывается что люди просто ужасно жадные существа, а бизнесы — еще более жадные и прагматичные. И уж точно не станут трактовать вилку не в свою пользу.


                1. VenomBlood
                  13.01.2016 00:24
                  +3

                  Когда я вижу «скидки до 80%» а зайдя в магазин вижу что максимальная скидка — 20% — это повод задуматься, да и это может быть расценено как false advertisement.
                  Когда я вижу «новый автомобиль ХХХ, цена от 20 тысяч долларов», а потом оказывается что самая простая конфигурация стоит 30К — это тоже большой вопрос. Так же и здесь — во первых иногда бывает что находятся левые отмазки или вообще без объяснения платят меньше чем положено по программе (например — уязвимость типа XSS позволяющая сделать то-то и то-то — $20K, а когда такую, формально подходящую под описание, уязвимость показывают — платят $5K). Другой случай когда нету конкретного описания за что сколько платят — есть вилка $10K — $100K и за уязвимость которая позволяет украсть все личные данные и совершать любые действия от чужого имени платят $10K или даже меньше — это все же злоупотребление, опять же нечестная реклама.

                  Вы же когда на работу приходите устраиваться и видете вилку 80К — 150К, но на самом деле для работодателя это 80К — 85К, а 85К-150К он платить не готов, но для увеличения потока людей они публикуют лживую рекламу — вы же тоже не довольны?


                  1. artyfarty
                    13.01.2016 00:30

                    Вы зайдете в магазин и увидите пару дурацких товаров со скидкой 80%. false advertisement? Формально нет. И dno edition автомобиль за 20к скорее всего существует (но вероятно с кучей оговорок). Тут же еще проще, так как это даже не магазин, витрины нет. Вилка 10-100 — можно платить всем 10. И нет в этом ничего странного. А XSS — не лучший пример. К XSS можно за уши притянуть возможность всего на свете (грубо говоря возможности самого привелегированного пользователя системы), но сама уязвимость-то обычно простая, и их очень много. А реально такое сэксплуатировать не так-то просто.


                    1. VenomBlood
                      13.01.2016 00:43
                      +2

                      Вилка 10-100 — можно платить всем 10. И нет в этом ничего странного.
                      Ну это не везде законно, если изначально предполагалось что 100 никому никогда платить не будут. Почему люди негодуют — понятно очень хорошо, компания злоупотребляет доверием, возможно имея армию грамотных авокадо которые нарисуют Вуки и докажут что истец сам мошенник, но это не отменяет того факта что они злоупотребляют доверием. Люди тратят месяцы на поиск уязвимости, при этом нахождение этой уязвимости вообще не гарантировано, и после этого они получают сумму которую reasonable person работающий в этой же области прочитав эту же рекламу вполне закономерно сочтет злоупотреблением доверием. Как результат — часть уязвимостей после пары скандалов просто будет сливаться тем кто платит больше или опубликовываться для всеобщего обозрения.

                      Обещания подобные bug bounty должны быть прозрачными (желательно с табличкой за какую уязвимость сколько дают) и честными, в противном случае они скорее принесут даже компании больше вреда чем пользы.


                      1. ankh1989
                        13.01.2016 09:25

                        Это решается публичным рынком анонимных хакеров и покупателей: хакер постит описание найденного бага, а покупатели устраивают аукцион.


    1. AllexIn
      12.01.2016 21:50
      +2

      Хакер хочет денег за свою работу. Их либо платит компания за то, чтоюы сделать свой продукт лучше/не потерять деньги, либо их платит клиент на черном рынке.
      Да, большинство хакеров хочет быть честными, даже безотносительно риска попасть под суд.
      Но когда вознаграждение нет или оно меньше, чем хакер мог получить за месяц просто эксплуатируя уязвимость — глупо рассчитывать, что хакер будет доволен таким вознаграждением.


      1. artyfarty
        12.01.2016 21:54

        Да я и не спорю что ГМ сделали странную программу, которой вряд ли кто-то воспользуется. Это был так, общий rant про тренд и настроения вайтхетов, которые я вижу со стороны. С той стороны, которой это сообщество повернуто в хабр и гт.


    1. Visphord
      13.01.2016 12:11

      Так никто ж не заставляет компании это делать — они сами пытаются заинтересовать *-Hat'ов.
      Black-Hat'ы могут просто продать уязвимость (или информацию, слитую с ее помощью) на черном рынке(да или просто конкурентам) и получить побольше, чем даёт компания через баг баунти — и гарантированно, а не ждать «а заплатят ли».

      Так что пока это выгодно компаниям. А GM просто зажмотился :)


  1. wormball
    12.01.2016 19:48
    +3

    Надеюсь, найдутся люди, желающие поучаствовать, но только с нарушением п. 1.


  1. stalinets
    12.01.2016 21:57
    +2

    Да, весело. Надеюсь, однажды GM это припомнят и в инете появится бесплатная утилитка под андроид, позволяющая, например, взять управление любым свежим авто концерна под контроль. Вот будет вечная слава-то!


    1. artyfarty
      12.01.2016 22:09
      +1

      Вы переоцениваете это явление в автомобилях. Годы уходят на то чтобы к иной машине появился банальный обходчик иммобилайзера (а стекла поднять — да вы что, это вообще люкс-фича). Дело не в сложности, а в том что заполучить конкретный автомобиль, да еще и начать в нём копаться (с риском сломать и потерять гарантию) может позволить себе не каждый. А ведь еще теплый уютный гараж нужен.

      В связи с этим я вообще сомневаюсь, что баунти про автомобильный софт, скорее про их сайты да сервисы (типа там запись в сервис, проверка VIN, личный кабинет машины, вот это всё)


      1. Aingis
        13.01.2016 10:48

        Есть подозрение что у конкретных «дельцов» это дело появляется очень даже быстро.


  1. Marsikus
    12.01.2016 23:26
    +1

    И кто им будет помогать?



  1. DeOhrenelli
    13.01.2016 11:46

    Там много кто не платит.
    Плюс ко всему этих деятелей можно понять — согласно текущим поправкам к DMCA (которые затребовала EFF, спасибо им за это) реверсинг автомобильного ПО все еще нелегален (будет легален ближе к концу этого года) — соответственно засудить они могут легко. Ближе к концу года они все запрыгают и начнут предлагать деньги, потому что легальных возможностей засудить будет существенно меньше.


    1. zone19
      13.01.2016 12:25

      Там не только автомобильное ПО, но и services, т.е. к примеру, сайт. Вот уведут у них базу клиентов с номерами кредиток и GM на сэкономленные деньги сможет оплатить час времени работы адвокатской конторы.


    1. vladikas
      13.01.2016 15:23
      +1

      Была статья о том, как пытались засудить фермеров, которые сами чинили свои трактора.
      geektimes.ru/post/261130