Самозанятые хакеры: на OFFZONE представили BI.ZONE Bug Bounty

Самозанятые хакеры: на OFFZONE представили BI.ZONE Bug Bounty

Самозанятые хакеры: на OFFZONE представили BI.ZONE Bug Bounty

В России появилась еще одна платформа поиска уязвимостей за деньги. В рамках конференции по практической кибербезопасности OFFZONE презентовали BI.ZONE Bug Bounty.

Не прошло и трех месяцев с запуска bug bounty от Positive Technologies, как свою программу выплат вознаграждений предложила компания BI.ZONE. “Красную ленточку” перерезали сегодня, в первый день конференции OFFZONE в Москве.

Идея создать свою программу bug bounty появилась еще в конце 2020 года, но тогда помешал ковид, говорит Евгений Волошин, директор блока экспертных сервисов BI.ZONE. В итоге разработки начались только через год, в конце 2021.

В BI.ZONE говорят, что хотели взять лучшее от зарубежных аналогов и добавить российского “менталитета” — у “ГУПов” и “госов” нет опыта общения с “этичными хакерами”.

Баг-хантеры смогут заработать до 300 000 рублей. Сумма будет зависеть от критичности и вероятности использования найденной уязвимости.

Еще до релиза предрегистрацию прошли 300 исследователей.

«Мы хотим создать не просто программу bug bounty. Это будет настоящий хаб взаимодействия компаний и хакеров. Мы хотим развивать комьюнити», — подчеркивает Волошин.

За “комьюнити” на презентации отвечал Сергей Колесников, менеджер продукта BI.ZONE Bug Bounty. Из “плюсов” он назвал возможность работать в удобное время, заниматься интересными проектами, получить свои “15 минут славы” и хорошую строчку в резюме.

Платить вознаграждение хакерам будут в рублях. Исследователи смогут оформить себя как физлица, самозанятые или ИП. В bug bounty ждут не только российских исследователей, но и коллег из СНГ.

Первой свою программу, кроме самого BI.ZONE, на платформе планирует разместить «Авито». Участие бизнеса в программах bug bounty говорит о зрелости компании в плане информационной безопасности, подчеркивает руководитель продуктовой безопасности Авито Валентин Лякутин.

По его словам, компаниям программа дает масштабирование ИБ, насыщение внутренней экспертизы, имиджевые бонусы.

Илья Шабанов, основатель Anti-Malware.ru, поинтересовался на презентации, как будет решаться спор, если компания не посчитает найденную уязвимость достаточно критичной и откажется платить хакеру.

BI.ZONE будет стремиться урегулировать любую спорную ситуацию, обещает Волошин. Однако репутация остается пока самым эффективным гарантом решения споров. Если компания отказывается платить баг-хантеру, она рискует испортить отношения со всем комьюнити.

BI.ZONE стала третьей компанией, запустившей платформу по размещению программ bug bounty. На российском рынке представлены еще BugBounty.ru и программы по поиску уязвимостей от Positive Technologies на базе киберполигона The Standoff.

За три месяца существования мы “захантили” 1800 исследователей, рассказывает Anti-Malware.ru Ярослав Бабин, директор по продукту The Standoff 365. Среди публичных компании, кроме самих Positive Technologies, свои программы разместили Азбука Вкуса и компании бренда VK. “Вилка” вознаграждений — от 3 тыс. рублей до 1,8 млн рублей.

Бабин считает, что российское комьюнити “белых хакеров” может достигать 10 тыс. исследователей. По словам эксперта, сообщество не самое большое в мире, но одно из самых “качественных”. Даже начинающие ресечеры обладают высокой компетенцией и большими перспективами.

Добавим, программы bug bounty в России пока не закреплены на уровне закона. Разговоры о том, что работу белых хакеров необходимо узаконить, продолжаются, но до сих пор не оформились в документ.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

ИИ может склонировать JS-зловреда 10 тыс. раз и добиться FUD в 88% случаев

Проведенное в Palo Alto Networks исследование показало, что ИИ-модель можно заставить многократно обфусцировать вредоносный код JavaScript и в итоге получить семпл, не детектируемый антивирусами (FUD, fully undetectable).

Речь идет об онлайн-помощниках, авторы которых вводят ограничения во избежание злоупотреблений ИИ-технологиями — в отличие от создателей «злых» аналогов (WormGPT, FraudGPT и т. п.), заточенных под нужды киберкриминала.

Разработанный в Palo Alto алгоритм использует большую языковую модель (БЯМ, LLM) для пошаговой трансформации кода с сохранением его функциональности. При его тестировании на реальных образцах JavaScript-зловредов кастомный классификатор на основе модели глубокого обучения выдал вердикт «безвредный» в 88% случаев.

Опытным путем было установлено, что уровень детектирования снижается по мере увеличения количества итераций (в ходе экспериментов LLM создавала по 10 тыс. вариантов вредоноса). Примечательно, что привносимые изменения выглядели более естественно в сравнении с результатами готовых инструментов вроде obfuscator.io.

Для проведения исследования был также создан набор подсказок для выполнения различных преобразований, таких как переименование переменной, разделение строк, добавление мусора, удаление ненужных пробелов, альтернативная реализация функции.

Финальные варианты обфусцированных JavaScript были ради интереса загружены на VirusTotal. Их не смог распознать ни один антивирус; повторение проверок через четыре дня дало тот же эффект.

 

Результаты исследования помогли экспертам усовершенствовать свой инструмент детектирования JavaScript. Полученные с помощью LLM образцы были добавлены в тренировочный набор данных для модели машинного обучения; их использование позволило повысить результативность классификатора на 10%.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru