Баг не пройдет!

«Лаборатория Касперского» расширяет программу по поиску уязвимостей и повышает максимальную награду до 100 тысяч долларов.

Помните, осенью прошлого года мы рассказывали о нашей инициативе по информационной открытости? Среди прочего мы обещали расширить программу bug bounty — и сделали это. Теперь любой, кто обнаружит особо серьезную уязвимость в наших программах, сможет получить вознаграждение в 100 тысяч долларов.

Программу по отлову багов мы запустили еще в 2016 году. Суть ее в том, что любой желающий — от начинающего IT-специалиста до продвинутого эксперта — может искать ошибки в продуктах нашей компании. И за все найденные и ответственно раскрытые компании уязвимости получать денежное вознаграждение — до сих пор оно составляло от 300 до 5 тысяч долларов. За время работы программы ее участникам удалось найти, а нам — своевременно ликвидировать более 70 брешей.

Да, в наших продуктах тоже бывают ошибки. Мы не боимся об этом говорить. Никто не совершенен — именно поэтому в 1995 году и возникла первая программа bug bounty: тогда фирма Netscape хотела протестировать свой новый браузер. Сейчас такие программы есть у Google, Microsoft, Facebook, Mozilla, Yandex, Mail.Ru Group и многих других уважающих себя компаний. В том числе и у нас.

С 1 марта мы повысили максимальное вознаграждение в 20 раз. Главную награду — 100 тысяч долларов — можно получить, если найти уязвимость, которая позволяет использовать механизм обновления антивирусных баз для того, чтобы незаметно для пользователя выполнить код — и этот код продолжит работать даже после перезагрузки компьютера.

Это довольно сложная задача. Но и за уязвимости «помельче» охотников ждет награда: за те, что позволяют удаленно выполнять код, но соответствуют не всем перечисленным критериям, награда составляет от 5 до 20 тысяч долларов. За баги, которые позволяют повысить локальные привилегии или могут привести к раскрытию данных тоже предусмотрены поощрения.

Проверять на прочность можно два наших новых продукта: Kaspersky Internet Security 2019 и Kaspersky Endpoint Security 11 (последние бета-версии). По условиям программы они должны быть установлены на устройствах со свежими операционными системами: Windows 8.1 или Window 10 со всеми обновлениями. Больше подробностей можно узнать из описания нашей программы bug bounty на сайте платформы HackerOne.

Советы