Приглашаем опытных и начинающих баг-хантеров, а также экспертов в области интернет-безопасности принять участие в Security Meet Up, который состоится 4 декабря 2014 года в офисе Mail.Ru Group при информационной поддержке журнала Хакер. Темой встречи станет практика проведений программ поиска уязвимостей (bug bounties).

На сегодняшний день программы по выплате наград за обнаружение проблем в безопасности проектов есть у многих IT-компаний. «Охота на ошибки» — это по-настоящему эффективный механизм защиты, когда в процесс обеспечения безопасности компании вовлекаются сами пользователи, а компания демонстрирует готовность «ответить деньгами».

Как понять, готовы ли вы к запуску bug bounty? А к участию в ней в качестве ресерчера? Как организовать процесс выплаты вознаграждений, сбора и оценки заявок, взаимодействия с участниками? Чего ждать и к чему готовиться? Как подать хороший репорт и по каким критериям он отличается от плохого? Ответы на эти, а также другие распространенные вопросы, связанные с bug bounties, мы попробуем найти вместе с вами.

Представитель одного из самых авторитетных в мире белых хакерских сообществ HackerOne, который присоединится к нам по видеосвязи, коснется разных организационных тонкостей, а также поделится опытом сотрудничества с международными компаниями.

Владимир Дубровин, руководитель группы тестирования Mail.Ru Group, Тарас Иващенко, руководитель группы продуктовой безопасности Яндекса, и Илья Агеев, QA Lead, Badoo, поделятся опытом проведения программы bug bounty, расскажут о том, какие шишки набили при запуске и чего удалось достичь в результате, а также разберут пару-тройку наиболее интересных уязвимостей.

Дмитрий Bo0oM Бумов, участник многих программ поиска ошибок и автор нескольких интересных репортов в программе Mail.Ru Group, расскажет, зачем хакерам участвовать в bug bounties, и поделится лайфхаками.

Security Meet Up пройдет в офисе Mail.Ru Group по адресу: Ленинградский проспект 39, строение 79. Начало сбора гостей в 19.00. Первое выступление (HackerOne) в 19.30. Не забудьте зарегистрироваться и взять с собой паспорт или водительские права! Трансляцию мероприятия можно будет посмотреть на нашем сайте.

12-14 ноября в ЦВК «Экспоцентр» на Красной Пресне прошла 25-ая выставка Softool, продемонстрировавшая последние достижения в области информационных и коммуникационных технологий. В этом году мероприятие впервые прошло в партнерстве с Russian Interactive Week, объединив экспозиции, посвященные программному обеспечению, интернету, медиа, телекому и смежным индустриям. Организатором Softool выступила Ассоциация разработчиков программных продуктов “Отечественный софт”.

За три дня работы юбилейной выставки Softool посетители смогли ознакомиться с компаниями-экспонентами, которые занимаются решениями в области локальной разработки и интеграции, экспорта ИТ-продуктов и услуг, государственными приложениями и платформами для граждан, мобильными приложениями и многим другим. Выставка продемонстрировала серьезные намерения отечественных разработок расширить свое присутствие на рынке и занять достойное место среди иностранных продуктов.

Согласно планам Минкомсвязи РФ, российские производители ПО в скором времени будут иметь преференции, если эта инициатива получит одобрение правительства РФ. Эту мысль развили в секции «Реестр отечественного софта: какому программному обеспечению давать преференции при госзакупках», которая прошла в рамках деловой программы выставки Softool. В дискуссии приняли участие эксперты из Минкомсвязи, “Ростелекома”, “Лаборатории Касперского”, “1С”, “Роснефти”, Acronics и другие.

В рамках секции участники обсудили предложения Минкомсвязи России по изменению механизма закупок программного обеспечения для государственных и муниципальных организаций, а также госкомпаний. Сами преференции, о которых шла речь на секции,  должны заключаться в том, что госзаказчики (ФЗ-94) и госкомпании (ФЗ-223) либо изначально обязуются закупать программные продукты из числа внесенных в реестр отечественного ПО, либо при закупке зарубежного ПО письменно и публично объяснять необходимость закупки именно импортного продукта. Российские компании-разработчики могут попасть в реестр и, соответственно, получить преференции при госзакупках в следующих случаях. При условии, что они на 50% принадлежат российским бенефициарам и обладают полными и эксклюзивными правами на свои продукты на глобальном рынке. В случае с бенефициарами – частными лицами они должны подтверждать, что получили доход в размере не менее 3 млн рублей. Таким образом, в реестре будут присутствовать компании, чей софт востребован на рынке.

Представители Минэкономразвития высказались в пользу ограничения предложения Минкомсвязи только на 94 ФЗ, регламентирующего закупки со стороны госорганов и не подпадающего под нормы ВТО. Со стороны ИТ-отрасли, которая в течение последних пяти лет как раз и говорила о создании специальных условий для отечественных разработчиков, было больше позитивных откликов, хотя без серьезного обсуждения нюансов не обошлось. Согласно Минэкономразвития, введение преференций по 223 ФЗ может привести к нарушению обязательств РФ по ВТО, поэтому они требуют дополнительной проработки со стороны Минкомсвязи.

Предложения Минкомсвязи были разработаны совместно с Минэкономразвития РФ, Минпромторгом РФ, временной комиссией Совета Федерации по развитию информационного общества, АРПП «Отечественный софт» и российскими компаниями-производителями ПО.

В случае получения одобрения озвученных на секции предложений Правительством преференции могут быть введены с 1 июля 2015 года. На 2016 год Минкомсвязи наметило сбор и анализ результатов применения преференций и их корректировку по мере необходимости.

«Поддержка национальных производителей при госзакупках является стандартной мировой практикой. В России же сейчас де-юре в государственных тендерах на равных участвуют  иностранное и отечественное программное обеспечение, а де-факто мы видим большое количество тендеров, изначально «заточенных» под иностранные продукты. Эту ситуацию необходимо менять. На это и направлены разрабатываемые меры поддержки отечественного ПО при закупках в государственный сектор», – считает вице-президент АРПП “Отечественный софт” Евгения Василенко.

Информационный партнер Softool-2014 – сообщество разработчиков приложений Apps4All – провел круглый стол на тему: “Опыт, проблемы и перспективы ИТ-образования в России”. В дискуссии приняли участие представители бизнеса – будущие работодатели сегодняшних студентов, представители образовательных учреждений и студенты.

В частности, на секции говорилось о том, что вузы должны нести ответственность не только за качество выпускаемых специалистов, но и количественный показатель, который должен соответствовать запросам рынков. Практика трудового распределения выпускников вузов на первые несколько лет работы поможет решить проблему трудоустройства вчерашнего выпускника. Многие компании дают возможность студентам принимать участие в стажировках и в дальнейшем становятся их постоянными сотрудниками.

Глава Минкомсвязи Николай Никифоров объявил долгосрочную задачу для миллиона российских программистов: стране нужен полный информационный суверенитет. Пока у нас только 350 тысяч квалифицированных ИТ-специалистов, так что реализация задачи займет от 3 до 7 лет. В целом  в различных отраслях наблюдается высокий спрос на ИТ-работников, поэтому их трудовая судьба в ближайшие года будет складываться по более оптимистичному сценарию в отличие от юристов и экономистов.

«25-я выставка Softool подвела итоги развития отрасли за текущий год и обозначила ключевые тренды на рынке информационных технологий – говорит директор выставки Softool Никита Мищенко. – Новая концепция проведения Softool создает оптимальные условия для укрепления профессиональных связей внутри IT сообщества. Участники выставки остались довольны качеством аудитории, обратившейся на их стенд. По их мнению, сейчас Softool становится еще более актуальным, отражая глобальные изменения на рынке и новые перспективы в отрасли».

Мероприятие проходит при поддержке Министерства связи и массовых коммуникаций Российской Федерации, Российской Академии Наук, Российского фонда фундаментальных исследований, Департамента информационных технологий Правительства Москвы. Сайт мероприятия –http://softool.ru.

Генеральный партнер выставки Softool-2014 – ведущий мировой разработчик программного обеспечения и поставщик услуг в области распознавания и ввода документов, лингвистики и перевода компания ABBYY.
Генеральный радио-партнер Softool-2014 – радиостанция “Москва FM, генеральный информационный партнер – портал Hi-Tech Mail.Ru, специальный партнер – 3dnews.ru, событийный партнер – АйТи-Событие.рф. Информационными партнерами Softool-2014 стали: Softline, Tadviser.ru, Cnews.ru, Comnews.ru, Saas.ru, ИТ weekly, IDexpert, Astera, СMS magazine, Linuxcenter, 12news.ru, СК Пресс, Computerworld.ru, ixbt.com, сообщество “Типичный программист”, ИТ-sobytie.ru, ИТ-mozg.ru, ИКС Медиа, журнал “Популярная механика”, “Яблочно”, Infor Media Russia, Hard & Soft, Telecomdaily, HackDays, Global CIO, Бизнес-инкубатор ВШЭ Hse-inc.ru, Gameland: Хакер, Железо, “Системный администратор”, “Экономика и жизнь”, ИА “Монитор”, Allsoft.ru, Urfotech.ru, MskИТ.ru, Apps4All.ru, “Национальный банковский журнал”, GeneralExpo, Expocom.ru, FindHall.ru, AdIndex.

СПРАВКА
Softool – старейшая в России полномасштабная выставка, посвященная информационным и коммуникационным технологиям, которая проводится с 1990 года. В 2014 году пройдет уже 25-ая, юбилейная выставка.
Участники Softool – разработчики и издатели ПО, производители и дистрибьюторы компьютерного оборудования, компании-вендоры и многие другие. Ключевые темы выставки: локальная разработка, интеграция и экспорт ИТ-продуктов и услуг, государственные приложения для граждан, решения в области информационного государства, интернет-бизнес, мобильные приложения и Big Data. За четверть века работы на Softool ежегодно экспонировалось около 300 участников и побывало более миллиона посетителей.
Организатор выставки – Ассоциация разработчиков программных продуктов «Отечественный софт». Мероприятие проходит при поддержке Министерства связи и массовых коммуникаций Российской Федерации, Российской Академии Наук, Российского фонда фундаментальных исследований, Департамента информационных технологий Правительства Москвы. Сайт мероприятия –http://softool.ru.

Команда лабораторного кластера Qrator Labs объявила об открытии ЦОТ — центра обработки трафика для предоставления услуг по противодействию DDoS-атакам клиентам из США и Канады. Новые точки присутствия, открытые компанией в США (в том числе в Кремниевой долине), дополнили облачное решение компании, доведя общую пропускную способность сети фильтрации трафика до нескольких сотен гигабит.

«США — самый важный в мире рынок для компаний, предоставляющих услуги в области информационной безопасности. Американские клиенты хорошо понимают необходимость сервисов по противодействию DDoS-атакам, готовы и могут оплачивать работу профессионалов, помогающих справиться с этой проблемой. Но на фоне высокого спроса на подобные услуги, также наблюдается и высокая конкуренция поставщиков таких сервисов. Это непростой рынок, но мы уверены, что наше предложение — одно из самых привлекательных с точки зрения технической проработанности, качества предоставления сервиса, функциональности. Наши методики проверены годами и десятками клиентов, основаны на математических научных расчетах и работают на алгоритмах, умеющих очень точно различать запросы от ботов и от рядовых пользователей. Система постоянно эволюционирует, — мы каждую минуту собираем информацию об активности злоумышленников. Я уверен, что Qrator станет востребованным сервисом в США», —- сказал Александр Лямин, руководитель Qrator Labs.

«Мы рассматриваем нескольких кандидатов на должность главы американского офиса. Это будет профессионал с локальной экспертизой и знанием американского рынка. По нашим планам офис Qrator Labs откроется в США в начале следующего года. С этого момента клиенты смогут воспользоваться нашим сервисом», —- добавил руководитель Qrator Labs.

В апреле 2014 года впервые в истории компьютерной уязвимости было присвоено персональное название: это был легендарный Heartbleed (CVE-2014-0160). Впервые баг получил и персональный логотип. С тех пор тенденция продолжилась, и в течение года мы увидели сразу несколько «персональных» уязвимостей, в том числе Shellshock, POODLE и Sandworm.

Раньше имена давали компьютерным вирусам и хакерским группам. Часто это делали сами авторы вируса и члены группировки, но иногда их работу приходилось выполнять специалистам по безопасности, рассказывает Стефан Уорд (Stephen Ward), старший директор компании iSIGHT Partners, которая чуть больше месяца назад сообщила об атаке Sandworm. «Исследователи часто используют уникальные характеристики, найденные в коде программы или в управляющем сервере, чтобы дать название команде или определённому эксплоиту. Это помогает лучше понять и создать базовую точку по мере того как появляются новые варианты зловреда или продолжается активность группы», — пояснил Стефан Уорд.

По мнению эксперта, в мире действуют десятки групп, которые специализируются на написании и распространении вредоносных программ, в том числе, для шпионажа. Только в России ему известно как минимум 5 таких групп. «Если не присваивать им названия, то будет невозможно отслеживать их», — сказал Уорд. В свою очередь, группу с конкретным названием уже можно изучать отдельно от остальных.

Что касается Heartbleed, то эта уязвимость получила название, созвучное расширению библиотеки OpenSSL — Heartbeat — в котором, собственно, и нашли ошибку две группы исследователей, в том числе из компании Codenomicon.

Что характерно, Codenomicon сразу развернула маркетинговую кампанию по «раскрутке» названия, они заранее купили домен Heartbleed.com и нарисовали логотип.

В течение нескольких недель разные предприниматели наладили выпуск большого ассортимента товаров с новым логотипом Heartbleed: футболки, кружки, даже наклейки для ногтей.

Нужно сказать, что не всем понравились подобные действия Codenomicon: «У этих ребят нашлось время нарисовать причудливый логотип для своего сайта, но не было времени уведомить разработчиков основных дистрибутивов?» — возмущается Кэмерон Стоукс (Cameron Stokes).

Впрочем, такой пиар позволил информации быстро распространиться. А это важно, потому что всем уязвимым серверам следовало оперативно поставить патчи, так что чем раньше сисадмины получили информацию — тем лучше. Конечно, такой брендинг позволил и злоумышленникам раньше начать эксплуатацию бага, так что у этой медали две стороны.

Два дня не работали компьютеры в офисах компании Sony Pictures по всему миру. При попытке авторизоваться в системе пользователи видели странное изображение и текст под заголовком «Взломано группой #GOP». Сотрудники не только не могли пользоваться компьютерами, но оказались лишены телефонной связи. Как сказал один из них, «мы полностью парализованы».

Группа, название которой расшифровывается как Guardians of Peace (Защитники мира), предупреждает, что это только начало и она продолжит операцию против Sony Pictures, если та не выполнит их требования. Не совсем понятно, какие требования выдвигают злоумышленники, но они обещают опубликовать в открытом доступе внутреннюю информацию компании, «включая главные секреты».

Одновременно, под разными аккаунтами в твиттере опубликован ряд сообщений с хештегом #GOP, с картинками и заголовком аналогичного содержания.

На скриншоте видны ссылки на архив с документами. Содержание этих документов демонстрирует, что хакерам удалось завладеть самыми различными базами данных, с паролями, секретными ключами и другими файлами с сервера компании. Содержимое файлов частично продублировано на форуме Reddit.

Представители группы #GOP позже дали комментарий прессе, на условиях анонимности. Они сказали, что атака проведена при помощи персонала компании, а они выступают лично против исполнительного директора Майкла Линтона (Michael Lynton), называя его преступником.