Корпорация Google наняла хакеров для поиска уязвимостей

Россия заплатит хакерам за поиск IT-уязвимостей

Государство пригласит исследователей поискать уязвимости в IT-системах. Это следует из плана мероприятий по информационной безопасности Программы цифровой экономики, план 18 декабря утвердило правительство России. Есть и бюджет: до конца 2020 г. на денежные премии и призы за найденные уязвимости по плану отводится 500 млн руб. из бюджета и 300 млн руб. внебюджетных средств, а начаться охота должна в апреле 2018 г., следует из документа. Ответственными названы Минкомсвязи, ФСБ и ФСТЭК, исполнителем – Центр компетенций по импортозамещению в сфере ИКТ (создан по поручению президента России Владимира Путина).

Будут тестироваться и российские государственные IT-системы, и IT-продукты вендоров – как российских, так и зарубежных, рассказал «Ведомостям» директор центра Илья Массух. Предполагается две модели тестирования. По первой модели будет явный заказчик поиска уязвимости, который предложит свою систему для теста и может дать к ней доступ, рассказывает Массух. Во втором случае тестирование будет производиться без уведомления разработчика системы – например, когда речь идет о рыночных IT-платформах, операционных системах, системах управления базами данных, продолжает Массух. Средства между этими двумя моделями будут распределяться в пропорции примерно 75 на 25, указывает он.

По словам Массуха, заниматься тестированием будет позволено и физическим лицам, и компаниям – но не во всех случаях. Часть тестов будет доступна лишь для компаний, поскольку эти тесты могут потребовать доступа к инфраструктуре систем. Остальное тестирование, особенно систем, доступных массовому пользователю, будет открыто для всех.

Что делать с уязвимостями

В зависимости от характера найденных уязвимостей они могут либо публиковаться (после того, как будут устранены), либо сохраняться втайне от всех, кроме вендора или владельца IT-системы, указывает Массух.

По словам сотрудника спецслужб, очевидно, что премии за поиск уязвимостей касаются как отечественного, так и зарубежного программного обеспечения и за их выявлением будут следовать меры по их устранению, в том числе запрет использования программ, разработчики которых не пожелают устранить эти уязвимости.

Вполне вероятно, что обнаруженным уязвимостям найдут какое-то тайное применение, предполагает собеседник «Ведомостей», занимающийся заказными исследованиями безопасности. С ним соглашается другой эксперт по безопасности: качественных уязвимостей мало, каждая из них на вес золота и поэтому высока вероятность, что о них никто не узнает, кроме спецслужб.

«Лаборатория Касперского» назвала главные киберугрозы 2018 года

Вероятность тайного использования найденных уязвимостей мизерная, спорит эксперт по безопасности, но зато существенна вероятность приглашения талантливых исследователей к сотрудничеству со спецслужбами.

Спецслужбы и так стали крупными игроками на рынке поиска уязвимостей (в том числе черном), поэтому им такая программа ни к чему, уверен сотрудник одной из компаний, работающих на рынке информационной безопасности. Если о программе объявляется публично, то вряд ли кто-то сможет тайно получать информацию о найденных уязвимостях и использовать в своих целях, считает президент ассоциации RISSPA (сообщество профессионалов по информационной безопасности) Евгений Климов.

Цели исследований сугубо гражданские, а у спецслужб есть свои программы, сказал Массух.

Представитель Минкомсвязи не сообщил, как предполагается поступать с найденными уязвимостями, а также будут ли тестироваться продукты зарубежных вендоров. Он сказал, что, поскольку предложение поступило от бизнеса (ответственными за разработку плана мероприятий были Сбербанк и компания InfoWatch), министерство ждет дополнительной информации.

Представитель Сбербанка не ответил на вопрос, будут ли найденные уязвимости использоваться в государственных целях.

Мировой опыт

Facebook использует систему поиска уязвимостей безопасности с 2011 г. К октябрю 2016 г. компания выплатила более $5 млн 900 разработчикам. Большая часть выплат, сообщает Facebook Bug Bounty, пришлась на разработчиков из Индии, США и Мексики. Также в 2016 г. Facebook подключил к системе WhatsApp и разрешил оплату разработчикам в биткойнах, говорится в сообщении компании к пятилетию системы.

C 2010 г. программу поддержки безопасности своих продуктов развивает Google. Сейчас он оплачивает поиск уязвимостей в обновлениях системы, работе Google Chrome, Android, Google Play, а также дает гранты на исследования уязвимостей, говорится в разделе официального сайта о безопасности. За работу над продуктами Google корпорация предлагает, по данным на официальном сайте, до $31 300, за полноценные отчеты о проблемах Android – до $150 000–200 000.

В 2014–2015 гг. мессенджер Telegram провел два раунда конкурса для разработчиков: в соцсети организаторы запускали секретный чат «Павла и Ника», из которого требовалось извлечь секретные данные. Письмо с пояснениями и банковским счетом победителя, отправленное на этот адрес, признавалось победой. В первом раунде призовой фонд был равен $200 000 в биткойнах и, по сообщениям в блоге Telegram, взломать чат не удалось никому. Тогда организаторы упростили условия и запустили второй раунд с призом в $300 000, но позже заявили, что так и не удалось выявить победителя.

Хакеры с принципами

Сейчас понятие «хакер» имеет негативную окраску, но по первоначальному определению хакер – сильный программист, который глубоко разбирается в устройстве компьютерных систем, рассказывает директор по развитию бизнеса Positive Technologies (анализ защищенности IT-систем) Максим Филиппов. Именно такие люди, этичные хакеры (так называемые белые шляпы), проводят исследования безопасности, участвуют в программах bug bounty (поиска уязвимостей), продолжает он.

Google наняла команду известных хакеров для поиска и устранения уязвимостей Zero-day

Компания Google объявила о запуске нового проекта, в рамках которого команда хакеров будет заниматься выявлением и устранением серьезных уязвимостей в интернете. Сообщение о запуске проекта, получившего название Project Zero было опубликовано в блоге Google представителем корпорации Крисом Эвансом. Как пишет TJournal, проект рассчитан на выявление в Сети так называемых уязвимостей нулевого дня (zero-day), то есть ошибок и различных вредоносных программ, против которых еще не разработаны механизмы защиты.

Любая обнаруженная уязвимость такого рода будет устраняться, а сведения о ней попадут в открытую базу. Это позволит не только отслеживать эффективность работы участников Project Zero, но и лучше понять техники и методы, которыми пользуются киберпреступники. По словам Эванса, Project Zero призван снизить общее число пользователей, подвергающихся атакам в интернете, а также улучшить защищенность популярных программ.

“Каждый пользователь должен заходить в интернет без страха перед преступниками или хакерами, получающими финансирование из государственных органов, занимающихся цензурой сети. Для этого мы нанимаем лучших специалистов в области информационной безопасности, которые будут тратить все свое время на повышение уровня безопасности интернета”, − написал Эванс. О том, какие именно хакеры стали участниками Project Zero и каким образом можно подать заявку на включение в состав команды проекта, в сообщении не уточняется.

По данным издания Wired, формирование команды Project Zero началось еще несколько месяцев назад, а одним из ее первых участников стал хакер Джордж Хотц, известный также под никнеймом geohot.
Хотц впервые прославился в 17 лет, когда взломал iPhone, позволив тысячам американцев подключаться к другим сетям, а не только AT&T, имевшей эксклюзивные права на продукт Apple. Затем на Хотца подала в суд корпорация Sony за публикацию ключей для взлома игровой консоли PlayStation 3. В итоге молодой американец и японская корпорация подписали мировое соглашение. В 2011 году Хотц начал работать в Facebook, где провел всего полгода. О том, чем он занимался в компании и почему прекратил сотрудничество с ней, неизвестно.

Не исключено, что Google ускорила работу над проектом после того, как была обнаружена серьезная уязвимость в пакете OpenSSL, поставившая под угрозу безопасность большинства серверов в мире. Позднее крупные IT-компании, включая Google, приняли решение о запуске краудфандингового проекта The Core Infrastructure Initiative для борьбы за безопасность ПО с открытым кодом.

Google наняла команду хакеров для обеспечения безопасности интернет-пользователей

По словам руководства компании, пользователи должны иметь возможность пользоваться интернетом без опасения того, что преступники могут заразить вирусом их компьютеры и похитить важную информацию.

Project Zero позиционируется как персональный вклад компании в защиту интернет-пользователей. Хакеры, задействованные в проекте, будут заниматься поиском уязвимостей не только в Google-проектах, но и в разработках других компаний, которыми пользуется большое количество людей. Каждая обнаруженная уязвимость будет заноситься в базу данных, а разработчикам будет сообщаться об этом. После исправления ими данной проблемы, уязвимость будет представлена широкой общественности.

​С конвейера ПАО КАМАЗ в апреле сошло 3,113 тыс. грузовиков, производственный план на май предусматривает выпуск не менее 2,8 тыс. автомобилей, заявил президент

Как следует из опубликованного отчёта компании, финансовые результаты Analog Devices в Q2 превзошли аналитиков. Показатель доходов не оправдал прогнозы.Компания заявила

Как следует из материалов компании, акционеры «Распадской» на годовом собрании утвердили дивиденды по итогам работы компании в 2019 году из расчета 2,83 рубля на

​Причины предлагаемого объединения автопроизводителей Fiat Chrysler и PSA-владельца Peugeot «сильнее, чем когда-либо», поскольку пандемия COVID-19 усугубляет существующие

​Французский автопроизводитель Renault в пятницу вновь откроет свой завод в Сандувилле, расположенный в Нормандии, на северо-западе Франции, сообщил Reuters в среду

​Delta Air Lines Inc, вероятно, увеличит пропускную способность этим летом, добавив больше рейсов в июне и июле, сообщил в среду Fox Business Network его генеральный директор в

​ВТБ разместил 20 мая однодневные биржевые облигации серии КС-3-416 на 12 млрд 597,3 млн рублей по номиналу при заявленном объеме 50 млрд рублей, следует из материалов

Акции Exxon Mobil выросли на 3,07% до 45,28 доллара к 10:13 в среду на бирже NYSE.Объем торгов акциями Exxon Mobil с начала сессии составил 3,52 млн. Exxon Mobil торгуется в диапазоне от $ 44,59 до

Акции Texas Instruments выросли на 4,06% до $ 117,21 к 09:57 в среду на бирже NASDAQ.Объем торгов акциями Texas Instruments с начала сессии составил 700,30K. Texas Instruments торгуется в диапазоне от 114,88

Украинское правительство собирается открыть 66 международных пунктов пропуска на границе с Молдавией и Евросоюзом, работа которых была остановлена для борьбы с

​Профицит счета текущих операций еврозоны сократился до 27 млрд евро в марте с 38 млрд евро в феврале, хотя профицит торгового баланса увеличился, сообщил в среду

Турецкие власти решили смягчить карантинные ограничения для прибывающих из-за рубежа запланированными рейсами граждан республики. Ранее для возвращающихся

Apparat — Журнал о новом обществе

Google нанимает армию хакеров, чтобы сделать интернет безопаснее

Что произошло?

Компания Google наняла хакеров, которые займутся поиском и устранением глобальных уязвимостей в интернете. Команда под названием Project Zero сосредоточится на так называемой уязвимости нулевого дня — бага или вредоносной программы, против которых ещё не успели разработать противоядие. Объявление об этом компания разместила в своём блоге. Такие уязвимости ищут хакеры по всему миру, но, в отличие от Google, не для того, чтобы сделать интернет безопаснее, а чтобы продать вашу информацию шпионам, государствам или киберпреступникам.

Что это значит?

Хакеры Google исследуют протоколы и программное обеспечение, от которых зависит работа всего интернета. Когда вы проверяете почту, оплачиваете покупки или пишите комментарий в соцсетях, ваши личные данные передаются и обрабатываются по определённым стандартам, которые используются повсеместно. Иногда хакеры находят в них фундаментальные ошибки и продают эту информацию компаниям, которые используют её для промышленного шпионажа, или государственным органам — для шпионажа политического.

Почему это важно?

Такой масштабной работой Google, вероятно, решил заняться после инцидента, произошедшего в апреле этого года. Тогда была обнаружена серьёзная уязвимость в пакете OpenSSL под названием Heartbleed, поставившая под угрозу безопасность большинства серверов в мире. По данным исследовательской компании Netcraft, этой уязвимости могли быть подвержены около 500 тысяч веб-сайтов. Инициатива Google по поиску уязвимостей в Сети, по идее, может предотвратить повторение подобных инцидентов в будущем и увеличить общую безопасность «цифровых граждан».

Работу спецподразделения Google собирается сделать максимально прозрачной. Все обнаруженные баги будут фиксироваться в базе данных, где можно будет отслеживать их дальнейшую судьбу. Компании, ответственные за те или иные программы, будут оповещаться о найденных ошибках. Google даст от 60 до 90 дней на их исправление до момента обнародования изъяна в своём блоге.

Кто сделает интернет лучше?

Google не рассказывает, какие именно хакеры стали участниками Project Zero и каким образом можно подать заявку на включение в состав команды. По данным Wired, формирование команды Project Zero началось несколько месяцев назад, а одним из её первых участников стал хакер Джордж Хоц, известный также под никнеймом geohot. Он прославился в 17 лет, когда взломал iPhone, позволив тысячам американцев подключаться к другим сетям, а не только к AT&T, имевшей эксклюзивные права на продукт Apple.

Новости oilru.com

«Нефть России», 16.07.14, Москва, 00:48 Компания Google создала новую команду из опытных специалистов в сфере информационной безопасности под названием Project Zero, задачей которой будет поиск уязвимостей в интернете. Об этом сообщается в официальном блоге Google.

«Пользователи должны иметь возможность использовать интернет без боязни того, что преступники или спонсируемые государством хакеры могут заразить вирусом их компьютеры, похитить информацию или отслеживать их коммуникации», — говорят в Google. По данным компании, сейчас в Сети есть так называемые уязвимости «нулевого дня», с помощью которых можно отследить, к примеру, деятельность правозащитника или вести промышленный шпионаж.

С целью предотвратить подобные инциденты Google и создает Project Zero, причем отмечает, что ведет набор сотрудников в команду. По данным издания Wired, среди нынешних участников Project Zero — британские специалисты Тэвис Орманди и Йен Бир, а также новозеландец Бен Хоукс, а всего в команду планируется набрать не менее 10 человек.

Google позиционирует Project Zero как свой вклад в защиту интернет-пользователей и надеется, что проект поможет исключить в будущем обнаружение хакерами дыр в безопасности аналогичных Heartbleed. Последняя затронула большую часть сайтов и сервисов интернета, так как теоретически позволяет злоумышленникам расшифровать данные, закодированные с помощью OpenSSL.

Хакеры в команде Project Zero будут заниматься поиском уязвимостей не только в ПО и сервисах Google, но и в разработках других компаний, которыми пользуются значительное число людей. По данным издания eWeek, команда Project Zero уже обнаружила и помогла исправить несколько уязвимостей в обновлениях платформы Apple iOS.

Каждую обнаруженную уязвимость Google будет вносить в базу данных, причем сообщать о найденных ошибках обещает только разработчику той или иной программы. Когда об уязвимости станет известно широкой публике (как правило, после выпуска исправления), пользователь сможет мониторить процесс решения проблемы разработчиком, – пишет http://lenta.ru. Подробнее читайте на http://www.oilru.com/news/418435/

Ссылки по теме

Анонсы

Новости

Google нанял команду хакеров для поиска интернет-уязвимостей

«Нефть России», 16.07.14, Москва, 00:48 Компания Google создала новую команду из опытных специалистов в сфере информационной безопасности под названием Project Zero, задачей которой будет поиск уязвимостей в интернете. Об этом сообщается в официальном блоге Google.

«Пользователи должны иметь возможность использовать интернет без боязни того, что преступники или спонсируемые государством хакеры могут заразить вирусом их компьютеры, похитить информацию или отслеживать их коммуникации», — говорят в Google. По данным компании, сейчас в Сети есть так называемые уязвимости «нулевого дня», с помощью которых можно отследить, к примеру, деятельность правозащитника или вести промышленный шпионаж.

С целью предотвратить подобные инциденты Google и создает Project Zero, причем отмечает, что ведет набор сотрудников в команду. По данным издания Wired, среди нынешних участников Project Zero — британские специалисты Тэвис Орманди и Йен Бир, а также новозеландец Бен Хоукс, а всего в команду планируется набрать не менее 10 человек.

Google позиционирует Project Zero как свой вклад в защиту интернет-пользователей и надеется, что проект поможет исключить в будущем обнаружение хакерами дыр в безопасности аналогичных Heartbleed. Последняя затронула большую часть сайтов и сервисов интернета, так как теоретически позволяет злоумышленникам расшифровать данные, закодированные с помощью OpenSSL.

Хакеры в команде Project Zero будут заниматься поиском уязвимостей не только в ПО и сервисах Google, но и в разработках других компаний, которыми пользуются значительное число людей. По данным издания eWeek, команда Project Zero уже обнаружила и помогла исправить несколько уязвимостей в обновлениях платформы Apple iOS.

Internews Kazakhstan

Поиск

О нас

quicktabs 2

• От редактора » 20 Янв

• мая 2012 (1)
• октября 2012 (1)
• ноября 2012 (81)
• декабря 2012 (196)
• января 2013 (299)
• февраля 2013 (309)
• марта 2013 (276)
• апреля 2013 (323)
• мая 2013 (290)
• июня 2013 (300)

СМИ в лицах