Re: Правда про Bug Bounty...
От: IID Россия  
Дата: 14.11.22 07:08
Оценка:
Здравствуйте, Shmj, Вы писали:

S>А что мешает на любой баг говорить что это повтор? Должна быть некая система хешей, которые раскрываются когда баг исправлен.


Идея с хешем — норм. Так исследователи "столбят" своё первенство. Публикуется (очень часто — в твиттере) некий хеш. Потом, если вдруг потребуется доказать что ты был первый — демонстрируешь текст, с описанием твоей находки. Хеш от которого совпадает с опубликованным.

Понятно, что BigBounty плевать хотели на подобное первенство. Ведь им важнее кто зарепортил. Но как факт установления очерёдности без раскрытия — вполне.
kalsarikännit
Re: Правда про Bug Bounty...
От: namespace  
Дата: 14.11.22 07:10
Оценка:
S>Т.е. довольно выгодно — на любой баг можно сказать что повтор.
Если бы я был менеджером гугла, то сделал бы точно так же.
Всем обявлешь сто тыщ денег за баг, на все репорты отвечаешь, что повтор, и раз в полгода типа выплачиваешь(подставным людям).
Если последнее не делать, никто не будет слать репорты и какой-нибудь пострадавший от взлома может засудить.
Поэтому 'выплачивать' со скандалом, чтобы точно все узнали, что гугол таки платит.
Re[12]: Правда про Bug Bounty...
От: Shmj Ниоткуда  
Дата: 14.11.22 08:46
Оценка:
Здравствуйте, Muxa, Вы писали:

M>И ключ от квартиры где деньги лежат?

M>Что из этого нельзя сделать задним числом после исправления бага?

https://ru.wikipedia.org/wiki/%D0%9A%D1%80%D0%B8%D0%BF%D1%82%D0%BE%D0%B3%D1%80%D0%B0%D1%84%D0%B8%D1%87%D0%B5%D1%81%D0%BA%D0%B0%D1%8F_%D1%85%D0%B5%D1%88-%D1%84%D1%83%D0%BD%D0%BA%D1%86%D0%B8%D1%8F
Re[2]: Правда про Bug Bounty...
От: Shmj Ниоткуда  
Дата: 14.11.22 08:59
Оценка:
Здравствуйте, IID, Вы писали:

IID>Идея с хешем — норм. Так исследователи "столбят" своё первенство. Публикуется (очень часто — в твиттере) некий хеш. Потом, если вдруг потребуется доказать что ты был первый — демонстрируешь текст, с описанием твоей находки. Хеш от которого совпадает с опубликованным.


IID>Понятно, что BigBounty плевать хотели на подобное первенство. Ведь им важнее кто зарепортил. Но как факт установления очерёдности без раскрытия — вполне.


Так не сработает — это должны сами Google обеспечивать. Иначе всегда могут сказать — нам уже было известно о баге до вашей публикации, просто мы не писали об этом из соображений безопасности а вашу систему хешей не используем.
Re[13]: Правда про Bug Bounty...
От: Muxa  
Дата: 14.11.22 09:17
Оценка:
M>>И ключ от квартиры где деньги лежат?
M>>Что из этого нельзя сделать задним числом после исправления бага?

S>https://ru.wikipedia.org/wiki/%D0%9A%D1%80%D0%B8%D0%BF%D1%82%D0%BE%D0%B3%D1%80%D0%B0%D1%84%D0%B8%D1%87%D0%B5%D1%81%D0%BA%D0%B0%D1%8F_%D1%85%D0%B5%D1%88-%D1%84%D1%83%D0%BD%D0%BA%D1%86%D0%B8%D1%8F


И?
Ты просишь доказательств, тебе присылают таблицу с хэшами.
Как узнать что ее не сгенерили 5 минут назад?
Re[3]: Правда про Bug Bounty...
От: IID Россия  
Дата: 14.11.22 09:41
Оценка:
S>Так не сработает — это должны сами Google обеспечивать. Иначе всегда могут сказать — нам уже было известно о баге до вашей публикации, просто мы не писали об этом из соображений безопасности а вашу систему хешей не используем.

Я специально подчеркнул что это не способ убедить BigBounty. Но как вариант застолбить свое достижение в сообществе, не раскрывая его раньше времени — действует и используется.
kalsarikännit
Re[14]: Правда про Bug Bounty...
От: Shmj Ниоткуда  
Дата: 14.11.22 11:41
Оценка:
Здравствуйте, Muxa, Вы писали:

S>>https://ru.wikipedia.org/wiki/%D0%9A%D1%80%D0%B8%D0%BF%D1%82%D0%BE%D0%B3%D1%80%D0%B0%D1%84%D0%B8%D1%87%D0%B5%D1%81%D0%BA%D0%B0%D1%8F_%D1%85%D0%B5%D1%88-%D1%84%D1%83%D0%BD%D0%BA%D1%86%D0%B8%D1%8F


M>И?

M>Ты просишь доказательств, тебе присылают таблицу с хэшами.
M>Как узнать что ее не сгенерили 5 минут назад?

Немножко подумайте головой. Таблицу с хешами публиковать для всех. Когда баг исправлен — отобржать текст, которому соответствует хеш.
Re[4]: Правда про Bug Bounty...
От: Shmj Ниоткуда  
Дата: 14.11.22 11:42
Оценка:
Здравствуйте, IID, Вы писали:

S>>Так не сработает — это должны сами Google обеспечивать. Иначе всегда могут сказать — нам уже было известно о баге до вашей публикации, просто мы не писали об этом из соображений безопасности а вашу систему хешей не используем.


IID>Я специально подчеркнул что это не способ убедить BigBounty. Но как вариант застолбить свое достижение в сообществе, не раскрывая его раньше времени — действует и используется.


А вот Google могли бы этот способ централизовать и тогда бы вопросов не возникло.
Re[3]: Правда про Bug Bounty...
От: _AND Российская Империя За Русский мир! За Русь святую!
Дата: 14.11.22 13:44
Оценка:
_AN>>Вроде все найденные уязвимости должны фиксироваться в специальных базах с уникальными идентификаторами и описаниями? Что бы ИБ специалисты были в курсе и предотвращали всё что можно предотвратить.

S>Кто вам даст эти базы?


Да пожалуйста:
https://cve.mitre.org/

Туда как правило добавляют уязвимости после того, как они исправлены. По идее надо платить за все уязвимости, которых там нет. Получатель награды должен подписать соглашение о неразглашении при получении денег (что-бы исключить вариант что он расскажет кому-нибудь и тот получит повторно). Если два человека независимо нашли одну проблему до ее фикса — платить обоим. Это кстати будет стимулировать быстро фиксить найденные уязвимости.
Re[15]: Правда про Bug Bounty...
От: Muxa  
Дата: 14.11.22 13:52
Оценка:
А ну так это надо заранее предусматривать. А вот прямо здесь и сейчас уже ничего не докажешь.
Re[4]: Правда про Bug Bounty...
От: Shmj Ниоткуда  
Дата: 14.11.22 14:57
Оценка:
Здравствуйте, _AND, Вы писали:

_AN>Да пожалуйста:

_AN>https://cve.mitre.org/

_AN>Туда как правило добавляют уязвимости после того, как они исправлены. По идее надо платить за все уязвимости, которых там нет. Получатель награды должен подписать соглашение о неразглашении при получении денег (что-бы исключить вариант что он расскажет кому-нибудь и тот получит повторно). Если два человека независимо нашли одну проблему до ее фикса — платить обоим. Это кстати будет стимулировать быстро фиксить найденные уязвимости.


Это честно. А то что гугле делает — попахивает лохотроном. Т.е. присылаешь баг а они тебе — извини, бро, уже сообщили — вместо 100 тыс. 0.
Re[16]: Правда про Bug Bounty...
От: Shmj Ниоткуда  
Дата: 14.11.22 14:58
Оценка:
Здравствуйте, Muxa, Вы писали:

M>А ну так это надо заранее предусматривать. А вот прямо здесь и сейчас уже ничего не докажешь.


Естественно заранее. Деньги то заранее обещают платить? Вот и должна быть четкие критерии оплаты. А сейчас по сути на любой баг могут сказать — уже есть, ваш гонорар равен нулю. Т.е. смыла искать нет.
Re: Правда про Bug Bounty...
От: Kerk Россия  
Дата: 22.11.22 14:37
Оценка:
Здравствуйте, Shmj, Вы писали:

S>Т.е. довольно выгодно — на любой баг можно сказать что повтор. Чел. бесплатно за морковку вам все напишет и ответственности перед ним ровно 0. Притом что месяцами будут игнорить.


Нам недавно написал какой-то чел "А вы платите за баги? Куда репортить найденное?", ответили, что не платим, а писать туда-то и туда-то. И больше не слышно ничего от него. А надо было оказывается пообещать $100k, а потом кинуть, как в лучших домах
No taxation without representation
Re[2]: Правда про Bug Bounty...
От: VladiCh  
Дата: 24.11.22 10:13
Оценка:
Здравствуйте, Kerk, Вы писали:

K>Здравствуйте, Shmj, Вы писали:


S>>Т.е. довольно выгодно — на любой баг можно сказать что повтор. Чел. бесплатно за морковку вам все напишет и ответственности перед ним ровно 0. Притом что месяцами будут игнорить.


K>Нам недавно написал какой-то чел "А вы платите за баги? Куда репортить найденное?", ответили, что не платим, а писать туда-то и туда-то. И больше не слышно ничего от него. А надо было оказывается пообещать $100k, а потом кинуть, как в лучших домах


За обычные баги никто ничего не платит как правило.
Некоторые компании платят за найденные уязвимости.
Подождите ...
Wait...
Пока на собственное сообщение не было ответов, его можно удалить.