- PVSM.RU - https://www.pvsm.ru -

HP платит до $10 000 за баги в принтерах, хакерам дают удалённый доступ

HP платит до $10 000 за баги в принтерах, хакерам дают удалённый доступ - 1

Пополнение в списке программ выплаты вознаграждений за найденные уязвимости (bug bounty). Теперь белые хакеры-исследователи могут претендовать на получение до $10 000 [1], если найдут уязвимости в принтерах HP. Компания объявила о запуске программы 31 августа — и стала первым в мире производителем принтеров, который будет платить за баги.

Уязвимости в принтерах и других периферийных устройствах часто становятся мишенью для хакеров. Если домашний принтер для этой цели практически бесполезен, то в корпоративной среде такое устройство обычно подключено к локальной сети и может использоваться как точка входа, особенно если системные администраторы не следят за своевременным обновлением прошивок. Согласно отчёту 2018 State of Bug Bounty Report [2] от Bugcrowd, за последние 12 месяцев (с 1 апреля 2017 г. по 31 марта 2018 г.) количество найденных багов выросло на 21% по сравнению с предыдущим годом.

Программа выплаты за уязвимости HP запущена на платформе Bugcrowd [3] — одной из нескольких платформ, где хакеры могут выбирать мишени для атаки, зарабатывать себе рейтинг и получать вознаграждение, которое во много раз превышает зарплаты разработчиков, работающих по найму. Самое большое вознаграждение в истории Bugcrowd недавно выплатила компания Samsung — $114 000 [4]. Впрочем, на самой крупной в интернете хакерской площадке HackerOne платят ещё больше: даже некоторые небольшие фирмы там предлагают вознаграждения до $200 000 — столько же, сколько даёт Apple за эксплойты для iPhone, которые на чёрном рынке стоят до $1,5 млн [5]. Поиск уязвимостей стал выгодным делом.

HP платит до $10 000 за баги в принтерах, хакерам дают удалённый доступ - 2

В комментарии [1] ZDNet представитель HP сказал: «Мы бросаем вызов исследователям в поиске неизвестных дефектов, которые могут быть использованы против наших клиентов. Мы предоставляем исследователям удалённый доступ к набору корпоративных многофункциональных принтеров и приглашаем исследователей сосредоточиться на потенциальных вредоносных действиях на уровне встроенного программного обеспечения, включая CSRF, RCE и XSS».

Представитель HP добавил, что вознаграждения будут выплачиваться даже в том случае, если выявленная уязвимость уже была ранее обнаружена специалистами компании, но информации ещё нет в открытом доступе. Исследователям предлагают сосредоточиться на уязвимостях в прошивках принтеров (firmware).

Директор HP по безопасности печати Шиваун Олбрайт (Shivaun Albright) сказал: «В течение многих лет обсуждение кибербезопасности было сосредоточено на программном обеспечении и сетях. Сегодня злоумышленники также ориентируются на оконечные устройства. Первостепенной задачей стала подключенных устройств, таких как принтеры, которые находятся на границе сети».

HP запускает программу в «приватном» режиме (private program [6]). Большинство компаний на платформе Bugcrowd предпочитают работать именно в таком порядке, когда хакеров просят не ломать общедоступные сервисы и устройства, а работать в контролируемом окружении. В частности, за последний год 79% всех новых программ были приватными.

HP платит до $10 000 за баги в принтерах, хакерам дают удалённый доступ - 3Вообще, сообщество белых хакеров-исследователей, которые ищут баги и зарабатывают этим, постоянно растёт. На Bugcrowd за прошлый год сообщество выросло на 71% и теперь представляет хакеров из 113 стран. Российские хакеры входят в число лидеров по количеству найденных багов.

Всего зарегистрировано более 87 700 исследователей, из них почти 4000 подтвердили свою личность, а около 7000 сообщили как минимум об одной уникальной уязвимости. В основном аудитория этих сайтов — молодёжь, на том же Bugcrowd около 71% пользователей в возрасте 18−29 лет.

Средняя выплата за найденную уязвимость составляет $781, а первое место по количеству выплат занимают уязвимости типа Cross-Site Scripting (XSS) Stored. В то же время по количеству отчётов первое место у уязвимостей Cross-Site Scripting (XSS) Reflected, но они относятся к третьему классу опасности (P3), а по таким багам оплата не всегда предусмотрена. Но хакер может занести её в свой актив, указать в профиле и повысить репутацию/рейтинг, что тоже интересно.

Общая сумма выплат на Bugcrowd за последний год превысила $6 млн. Более 81% этих денег выплачено за взлом сайтов. С большим отрывом следуют баги в аппаратном обеспечении, гаджетах (6,7%), API (5,8%), Android (3,1%), устройствах интернета вещей (2,5%) и iOS (0,7%).

Автор: alizar

Источник [7]

Сайт-источник PVSM.RU: https://www.pvsm.ru

Путь до страницы источника: https://www.pvsm.ru/hp/287846

Ссылки в тексте:

[1] до $10 000: https://www.zdnet.com/article/hp-will-give-you-10000-to-hack-your-printer/

[2] 2018 State of Bug Bounty Report: https://www.bugcrowd.com/resource/2018-state-of-bug-bounty-report/

[3] Bugcrowd: https://www.bugcrowd.com/

[4] $114 000: https://twitter.com/Bugcrowd/status/1017141736668368896

[5] до $1,5 млн: https://9to5mac.com/2017/07/06/apple-bug-bounty-program-payouts/

[6] private program: https://www.bugcrowd.com/resources/glossary/private-program/

[7] Источник: https://habr.com/post/418875/?utm_campaign=418875