Еще один выстрел в ногу
Концерн General Motors запустил собственную программу поиска багов и уязвимостей за «вознаграждение», сообщает securityledger.com. Изюминкой новой BB стало то, что деньги за найденные уязвимости концерн выплачивать не будет.Предназначена программа для «White hat»-хакеров и специалистов по информационной безопасности, которым GM предоставит доступ к своему программному обеспечению. Запущена «Bug Bounty» в целях повысить интерес «White hat»-хакеров и других экспертов к работе над внутренним ПО компании. Фактической же «наградой» за участие станет отсутствие судебных исков к специалистам, нашедшим уязвимости.
Запущен этот «аттракцион невиданной щедрости» был 5 января 2016 года на веб-сайте Hackerone с обещаниями «вечной славы» для специалистов, которые примут в ней участие и передадут данные об уязвимостях безопасности программного обеспечения General Motors. О денежных вознаграждениях, как это обычно бывает при запуске BB-программ, на сайте не упоминается. Зато предлагается стать первым, кто «покроет себя вечной славой». General Motors не первый «старый капиталистический гигант», который приходит к IT-сообществу с подобными предложениями.
Между тем, чтобы не получить от автоконцерна многомиллионный иск, специалисту по безопасности или хакеру будет необходимо выполнять, к примеру, следующие требования:
- Не вредить GM или их клиентам;
- Предоставить подробный отчет о своей работе над их ПО;
- Не ставить под угрозу жизнь или безопасность клиентов компании или ее услуги;
- Не нарушать законов;
- Обязаны предоставить детали местонахождения уязвимости для ее устранения силами GM;
- Специалистам с Кубы, Ирана, Северной Кореи, Судана, Сирии и Крыма участвовать в программе запрещено.
Полное описание GM BB-program на скриншоте ниже:
За неделю желающих поучаствовать не нашлось
Учитывая рыночную капитализацию GM в 47$ млрд, отсутствие информации о денежном вознаграждении выглядит, как минимум, странно. Bounty Bug-программы стали серьезной статьей дохода для талантливых хакеров и специалистов по информационной безопасности и позволяют им зарабатывать сотни тысяч долларов в год, в тоже время повышая качество выпускаемого ПО крупными компаниями и софтверными гигантами. Услугами «вольнонаемных» безопасников активно пользуются такие компании как Yahoo, PayPal, Twitter, Facebook, Microsoft и другие.
Комментарии (30)
EminH
12.01.2016 16:59+13Глянул на пару сайтов (gm.com, gmc.com) — правильно делают что не платят, там на одних xss их обанкротить можно
mtivkov
12.01.2016 19:21+16Вот что получается. Вы исследовали их сайты на предмет уязвимостей и нашли их.
Эти требования вы выполнили:
Не вредить GM или их клиентам
Не ставить под угрозу жизнь или безопасность клиентов компании или ее услуги;
Не нарушать законов;
Специалистам с Кубы, Ирана, Северной Кореи, Судана, Сирии и Крыма участвовать в программе запрещено.
Теперь дело за малым — с вас еще нужно:
Предоставить подробный отчет о своей работе над их ПО;
Обязаны предоставить детали местонахождения уязвимости для ее устранения силами GM;
Иначе, извиняйте, но раз не все требования выполнены, то будет к вам судебный иск с понятным исходом.
И экстрадируют вас в США, сидеть в тюрьме…
:)
artyfarty
12.01.2016 19:29+1Иногда мне боязно за вайтхет сообщество, по постам которых иногда складывается ощущение, что там стало нормальным мнение, что им все должны тонны денег (причём реально суммы какие-то астрономические). Читаешь очередной пост-скандал, как кому-то не выплатили баунти, начинаешь вчитываться, оказывается не не выплатили, а выплатили слишком мало, или еще куча всяких неприятных деталей вылезает.
tyderh
12.01.2016 21:35+13Знаете, найти серьезную уязвимость не так-то и просто. Даже в софте с исходниками.
Вы пытались реверсить код? Так вот, мало того, что тут нужно найти ошибку в коде, исходников кода у исследователей банально нет.
Мало? Держите: почти наверняка здесь реверсить нужно прошивки каких-нибудь стремных устройств без спецификаций.
Стремных устройств автомобиля, который сам по себе стоит тонны денег.
Т.е. мало того, что исследователю (немалого такого уровня) придется курочить свой автомобиль, так еще и работать за спасибо?
К чему я веду? Это не исследователям нужны астрономические суммы, а компаниям. Потому что человек в здравом рассудке участвовать в такой компании не будет: он либо просто не возьмется за это, либо продаст откопанное на черный рынок.artyfarty
12.01.2016 21:52+1Знаю.
Пытался.
Дак никто и не принуждает выбирать такую область деятельности. Аналогия, конечно, не лучший приём для спора, прошу меня извинить, да и сильно спорить я не хочу, но всё же. Представьте себе, я не знаю (возьму первую пришедшую в голову тему), сообщество людей, которые добровольно убирают снег с дорог, во дворах перед машинами там, перед гаражами. Вообще это дело каждого, свою машину откапывать, но многие относятся к этому весьма халатно. Ущербы от аварий из-за неубранного снега колоссальны. И вот эти люди добровольно убирают снег. А потом просят денег у водителей, у коммунальщиков. Потому что ну чо вы сами не убираете-то! Мы между прочим предотвращаем ущерб на колоссальные суммы!
Теперь же, когда вайтхэтов «признали» при помоши баг баунти программ (ну а что делать-то остаётся, так ущерб от них хотя бы можно контролировать (см «хакер в столовой»), те вообще потеряли голову, и если раньше были треды «чувак зарепортил уязвимость, а на него открыли дело», то теперь стали «чувак зарепортил уязвимость, а его не осыпали тысячами баксов».tyderh
12.01.2016 22:19+1Дак никто и не принуждает выбирать такую область деятельности.
А кто говорил, что что-то принуждает?
Представьте себе, я не знаю (возьму первую пришедшую в голову тему), сообщество людей, которые добровольно убирают снег с дорог, во дворах перед машинами там, перед гаражами.
Представил, что дальше? Ситуация тут другая. Представьте лучше, что вы однажды заметили, что ваш сосед забыл закрыть гараж. Номер телефона вы его не знаете. Поэтому прикладываете кучу усилий: звоните другу, сторожа в это время гараж, закрываете его на принесенный другом замок, оставляете записку и свой номер телефона.
А потом сосед ругается, грозя вас засудить/даже не благодарит. Обычно в такой ситуации откупаются деньгами, шоколадкой, но и благодарность — очень и очень хорошо.
И тут же в интернете есть сотни историй о том, что они вернули утерянную вещь, но их даже не поблагодарили в ответ. Такие же офигевшие, как и whitehat, да?
Так вот: рассказываете вы об этом соседе в ТСЖ, и никто ему больше этому соседу закрывать гараж не будет. Вот вся суть сообщений «Я нашел дырку в компании X, но они, гады, не заплатили».
Но кидаться фиговыми аналогиями можно вечно, лучше отвечайте на аргументы.artyfarty
12.01.2016 22:26Ваши аналогии очень хорошие. Всё так, и грустных историй о неблагодарности довольно много. Вот только не все это любят читать. Не зря блог «я негодую» погребен в пучины забвения.
А от вайтхетов только это и слышно — все, все вокруг, ужасно неблагодарные! И те, кто нам не нравится неблагодарные! И даже те, кого мы считали хорошими, оказывается тоже неблагодарные! Вот и неясно, действительно ли мир такой неблагодарный именно к вайтхетам? Если да, с кем же что-то не так: с ними или со всем миром? Если же выясняется, что люди вообще неблагодарные, то о чём вообще говорить? Нет, надо плясать на грани закона, и еще жаловаться и жаловаться.
VenomBlood
12.01.2016 23:39+3Аналогии не верные, т.к. компании открывают bug-bounty программы обещая определенные суммы, а потом оказывается что платят либо по нижнему лимиту за серьезную уязвимость либо вообще платят еще меньше.
Согласитесь, когда есть публичная оферта «платим от 10К до 100К», человек присылает уязвимость которая позволяет, например, скомпрометировать все личные данные пользователей и проводить неавторизованные транзакции, — а ему платят 10К или и того меньше. Возникает закономерный вопрос «если это — нижний лимит — что же тогда верхний? Или 100К — цифра для красного словца?», и закономерная обида, т.к. человек мог потратить месяцы на поиск этой уязвимости, а несоответствие оплаты в рамках предложеннйо вилки можно трактовать как false advertisement.artyfarty
13.01.2016 00:06-3Не соглашусь. Завышенные ожидания — проблемы ожидаюшего. Вы же не ожидаете купить нужный вам предмет со скидкой 80%, когда видите заманушный рекламный лозунг «СКИДКИ ДО 80%!» А все потому что бизнес, как ни странно, не любит дарить деньги, и снова возвращаемся к тому, что проблема не в том что вайтхетов обделяют тысячами долларов, а оказывается что люди просто ужасно жадные существа, а бизнесы — еще более жадные и прагматичные. И уж точно не станут трактовать вилку не в свою пользу.
VenomBlood
13.01.2016 00:24+3Когда я вижу «скидки до 80%» а зайдя в магазин вижу что максимальная скидка — 20% — это повод задуматься, да и это может быть расценено как false advertisement.
Когда я вижу «новый автомобиль ХХХ, цена от 20 тысяч долларов», а потом оказывается что самая простая конфигурация стоит 30К — это тоже большой вопрос. Так же и здесь — во первых иногда бывает что находятся левые отмазки или вообще без объяснения платят меньше чем положено по программе (например — уязвимость типа XSS позволяющая сделать то-то и то-то — $20K, а когда такую, формально подходящую под описание, уязвимость показывают — платят $5K). Другой случай когда нету конкретного описания за что сколько платят — есть вилка $10K — $100K и за уязвимость которая позволяет украсть все личные данные и совершать любые действия от чужого имени платят $10K или даже меньше — это все же злоупотребление, опять же нечестная реклама.
Вы же когда на работу приходите устраиваться и видете вилку 80К — 150К, но на самом деле для работодателя это 80К — 85К, а 85К-150К он платить не готов, но для увеличения потока людей они публикуют лживую рекламу — вы же тоже не довольны?artyfarty
13.01.2016 00:30Вы зайдете в магазин и увидите пару дурацких товаров со скидкой 80%. false advertisement? Формально нет. И dno edition автомобиль за 20к скорее всего существует (но вероятно с кучей оговорок). Тут же еще проще, так как это даже не магазин, витрины нет. Вилка 10-100 — можно платить всем 10. И нет в этом ничего странного. А XSS — не лучший пример. К XSS можно за уши притянуть возможность всего на свете (грубо говоря возможности самого привелегированного пользователя системы), но сама уязвимость-то обычно простая, и их очень много. А реально такое сэксплуатировать не так-то просто.
VenomBlood
13.01.2016 00:43+2Вилка 10-100 — можно платить всем 10. И нет в этом ничего странного.
Ну это не везде законно, если изначально предполагалось что 100 никому никогда платить не будут. Почему люди негодуют — понятно очень хорошо, компания злоупотребляет доверием, возможно имея армию грамотных авокадо которые нарисуют Вуки и докажут что истец сам мошенник, но это не отменяет того факта что они злоупотребляют доверием. Люди тратят месяцы на поиск уязвимости, при этом нахождение этой уязвимости вообще не гарантировано, и после этого они получают сумму которую reasonable person работающий в этой же области прочитав эту же рекламу вполне закономерно сочтет злоупотреблением доверием. Как результат — часть уязвимостей после пары скандалов просто будет сливаться тем кто платит больше или опубликовываться для всеобщего обозрения.
Обещания подобные bug bounty должны быть прозрачными (желательно с табличкой за какую уязвимость сколько дают) и честными, в противном случае они скорее принесут даже компании больше вреда чем пользы.ankh1989
13.01.2016 09:25Это решается публичным рынком анонимных хакеров и покупателей: хакер постит описание найденного бага, а покупатели устраивают аукцион.
AllexIn
12.01.2016 21:50+2Хакер хочет денег за свою работу. Их либо платит компания за то, чтоюы сделать свой продукт лучше/не потерять деньги, либо их платит клиент на черном рынке.
Да, большинство хакеров хочет быть честными, даже безотносительно риска попасть под суд.
Но когда вознаграждение нет или оно меньше, чем хакер мог получить за месяц просто эксплуатируя уязвимость — глупо рассчитывать, что хакер будет доволен таким вознаграждением.artyfarty
12.01.2016 21:54Да я и не спорю что ГМ сделали странную программу, которой вряд ли кто-то воспользуется. Это был так, общий rant про тренд и настроения вайтхетов, которые я вижу со стороны. С той стороны, которой это сообщество повернуто в хабр и гт.
Visphord
13.01.2016 12:11Так никто ж не заставляет компании это делать — они сами пытаются заинтересовать *-Hat'ов.
Black-Hat'ы могут просто продать уязвимость (или информацию, слитую с ее помощью) на черном рынке(да или просто конкурентам) и получить побольше, чем даёт компания через баг баунти — и гарантированно, а не ждать «а заплатят ли».
Так что пока это выгодно компаниям. А GM просто зажмотился :)
wormball
12.01.2016 19:48+3Надеюсь, найдутся люди, желающие поучаствовать, но только с нарушением п. 1.
stalinets
12.01.2016 21:57+2Да, весело. Надеюсь, однажды GM это припомнят и в инете появится бесплатная утилитка под андроид, позволяющая, например, взять управление любым свежим авто концерна под контроль. Вот будет вечная слава-то!
artyfarty
12.01.2016 22:09+1Вы переоцениваете это явление в автомобилях. Годы уходят на то чтобы к иной машине появился банальный обходчик иммобилайзера (а стекла поднять — да вы что, это вообще люкс-фича). Дело не в сложности, а в том что заполучить конкретный автомобиль, да еще и начать в нём копаться (с риском сломать и потерять гарантию) может позволить себе не каждый. А ведь еще теплый уютный гараж нужен.
В связи с этим я вообще сомневаюсь, что баунти про автомобильный софт, скорее про их сайты да сервисы (типа там запись в сервис, проверка VIN, личный кабинет машины, вот это всё)
Aingis
13.01.2016 10:48Есть подозрение что у конкретных «дельцов» это дело появляется очень даже быстро.
DeOhrenelli
13.01.2016 11:46Там много кто не платит.
Плюс ко всему этих деятелей можно понять — согласно текущим поправкам к DMCA (которые затребовала EFF, спасибо им за это) реверсинг автомобильного ПО все еще нелегален (будет легален ближе к концу этого года) — соответственно засудить они могут легко. Ближе к концу года они все запрыгают и начнут предлагать деньги, потому что легальных возможностей засудить будет существенно меньше.zone19
13.01.2016 12:25Там не только автомобильное ПО, но и services, т.е. к примеру, сайт. Вот уведут у них базу клиентов с номерами кредиток и GM на сэкономленные деньги сможет оплатить час времени работы адвокатской конторы.
vladikas
13.01.2016 15:23+1Была статья о том, как пытались засудить фермеров, которые сами чинили свои трактора.
geektimes.ru/post/261130
AlexanderS
А General Motors не хочет мне продать бесплатно машину, а я в свою очередь гарантирую в случае поломок или проблем отсутствие судебных исков, а ещё буду вечно прославлять автогиганта путём нанесения его названия и логотипа прям на всю машину целиком!
Что?
Мотивации мало!?
Что?
Денег зарабатывать хотите!?
neomedved
Если бы Вы были достаточно известной медийной личностью, то GM подумала бы о вашем предложении. Вопрос в том, что они несколько переоценили свой авторитет в области информационной безопасности.
AlexanderS
Сомневаюсь.
Мне бы наверняка постарались впарить супермегаэкстралюксовый вариан какого-нибудь ихнего крутого спорткара в колёса которого инкрустированы брильянты))) Тем более мне, как известной персоне, нужна уже будет просто надежная и комфортабельная машина и если она будет ломаться постоянно… ууууу… =)