Главная » Хабрахабр » HP платит до $10 000 за баги в принтерах, хакерам дают удалённый доступ

HP платит до $10 000 за баги в принтерах, хакерам дают удалённый доступ

Пополнение в списке программ выплаты вознаграждений за найденные уязвимости (bug bounty). Теперь белые хакеры-исследователи могут претендовать на получение до $10 000, если найдут уязвимости в принтерах HP. Компания объявила о запуске программы 31 августа — и стала первым в мире производителем принтеров, который будет платить за баги.

Если домашний принтер для этой цели практически бесполезен, то в корпоративной среде такое устройство обычно подключено к локальной сети и может использоваться как точка входа, особенно если системные администраторы не следят за своевременным обновлением прошивок. Уязвимости в принтерах и других периферийных устройствах часто становятся мишенью для хакеров. по 31 марта 2018 г.) количество найденных багов выросло на 21% по сравнению с предыдущим годом.
Программа выплаты за уязвимости HP запущена на платформе Bugcrowd — одной из нескольких платформ, где хакеры могут выбирать мишени для атаки, зарабатывать себе рейтинг и получать вознаграждение, которое во много раз превышает зарплаты разработчиков, работающих по найму. Согласно отчёту 2018 State of Bug Bounty Report от Bugcrowd, за последние 12 месяцев (с 1 апреля 2017 г. Впрочем, на самой крупной в интернете хакерской площадке HackerOne платят ещё больше: даже некоторые небольшие фирмы там предлагают вознаграждения до $200 000 — столько же, сколько даёт Apple за эксплойты для iPhone, которые на чёрном рынке стоят до $1,5 млн. Самое большое вознаграждение в истории Bugcrowd недавно выплатила компания Samsung — $114 000. Поиск уязвимостей стал выгодным делом.

Мы предоставляем исследователям удалённый доступ к набору корпоративных многофункциональных принтеров и приглашаем исследователей сосредоточиться на потенциальных вредоносных действиях на уровне встроенного программного обеспечения, включая CSRF, RCE и XSS». В комментарии ZDNet представитель HP сказал: «Мы бросаем вызов исследователям в поиске неизвестных дефектов, которые могут быть использованы против наших клиентов.

Исследователям предлагают сосредоточиться на уязвимостях в прошивках принтеров (firmware). Представитель HP добавил, что вознаграждения будут выплачиваться даже в том случае, если выявленная уязвимость уже была ранее обнаружена специалистами компании, но информации ещё нет в открытом доступе.

Сегодня злоумышленники также ориентируются на оконечные устройства. Директор HP по безопасности печати Шиваун Олбрайт (Shivaun Albright) сказал: «В течение многих лет обсуждение кибербезопасности было сосредоточено на программном обеспечении и сетях. Первостепенной задачей стала подключенных устройств, таких как принтеры, которые находятся на границе сети».

Большинство компаний на платформе Bugcrowd предпочитают работать именно в таком порядке, когда хакеров просят не ломать общедоступные сервисы и устройства, а работать в контролируемом окружении. HP запускает программу в «приватном» режиме (private program). В частности, за последний год 79% всех новых программ были приватными.

На Bugcrowd за прошлый год сообщество выросло на 71% и теперь представляет хакеров из 113 стран. Вообще, сообщество белых хакеров-исследователей, которые ищут баги и зарабатывают этим, постоянно растёт. Российские хакеры входят в число лидеров по количеству найденных багов.

В основном аудитория этих сайтов — молодёжь, на том же Bugcrowd около 71% пользователей в возрасте 18−29 лет. Всего зарегистрировано более 87 700 исследователей, из них почти 4000 подтвердили свою личность, а около 7000 сообщили как минимум об одной уникальной уязвимости.

В то же время по количеству отчётов первое место у уязвимостей Cross-Site Scripting (XSS) Reflected, но они относятся к третьему классу опасности (P3), а по таким багам оплата не всегда предусмотрена. Средняя выплата за найденную уязвимость составляет $781, а первое место по количеству выплат занимают уязвимости типа Cross-Site Scripting (XSS) Stored. Но хакер может занести её в свой актив, указать в профиле и повысить репутацию/рейтинг, что тоже интересно.

Более 81% этих денег выплачено за взлом сайтов. Общая сумма выплат на Bugcrowd за последний год превысила $6 млн. С большим отрывом следуют баги в аппаратном обеспечении, гаджетах (6,7%), API (5,8%), Android (3,1%), устройствах интернета вещей (2,5%) и iOS (0,7%).


Оставить комментарий

Ваш email нигде не будет показан
Обязательные для заполнения поля помечены *

*

x

Ещё Hi-Tech Интересное!

Как изучение критической уязвимости DHCP в Windows 10 привело к обнаружению еще двух ошибок безопасности

Изображение: Unsplash А в некоторых случаях таких новых уязвимостей оказывается больше одной. Как было описано в предыдущей статье про CVE-2019-0726, иногда поиск деталей об уже известной уязвимости приводит к обнаружению новой уязвимости. Как всегда происходит при поиске уязвимостей, даже если ...

Быстрорастворимое проектирование

Люди учатся архитектуре по старым книжкам, которые писались для Java. Книжки хорошие, но дают решение задач того времени инструментами того времени. Время поменялось, C# уже больше похож на лайтовую Scala, чем Java, а новых хороших книжек мало. Увидим обзор типовых ...