Tumar.One — первая полноценно работающая BugBounty площадка в СНГ
В данном посте мы расскажем как запустили пилот национальной BugBounty платформы в Казахстане как из этого родился полноценный международный стартап.
337 просмотров
Программа Bug Bounty — это программа, предлагаемая некоторыми веб-сайтами и разработчиками программного обеспечения, с помощью которой люди могут получить признание и вознаграждение за нахождение ошибок, особенно тех, которые касаются эксплойтов и уязвимостей. Эти программы позволяют разработчикам обнаружить и устранить ошибки, прежде чем широкая общественность узнает о них, предотвращая злоупотребления. В частности, программы Bug Bounty были реализованы компаниями Facebook, Yahoo!, Google, Reddit, Apple и Microsoft.
В конце 2020 года Комитет информационной безопасности Министерства цифрового развития Республики Казахстан в рамках проведения киберучении в стране, предложил нам организовать возможность независимым исследователям по кибербезопасности найти и сдать уязвимости в информационных системах государственных органов. В рамках этой инициативы мы (TSARKA — лидер в области кибербезопасности в Центральной Азии) предложили собственную платформу Tumar.One .
Мобильное приложение Tumar — Инструкция пользователя
Если честно, наши ожидания были очень скромные. Мы ожидали получение всего лишь пару десятков уязвимостей и участие не более 100 зарегистрированных багхантеров.
Спустя год пилотирования данной программы на всю страну мы сейчас имеем порядка 1200 независимых исследователей со всего мира, и сдано более 1000 уязвимостей.
Сформировался уже Leaderboard багхантеров, который обновляется каждый сезон.
После пилотирования данной программы с государством к нам начало приходить очень много коммерческих клиентов. Платформа органически выросла из чисто казахстанской платформы в отдельный стартап, который прошел в мировую акселерационную программу Plug and Play.
Расскажем несколько кейсов, которые были выявлены в рамках пилотирования национальной платформы, чтобы показать результаты и почему для государства это является одной из важнейших инициатив.
Самые распространенные уязвимости связаны были с IDOR, default credentials (учетные данные по умолчанию) и sensitive data exposure (раскрытие конфиденциальных данных).
Кейс 1: Доступ к системе управления системой водоснабжения г. Нур-Султан
Один из любимых наших кейсов и, наверное, один из самых критичных. Багхантер изучал пару недель документы столичного акимата (мэрия) и в одних из документах нашел упоминание системы управления водоснабжением города и адрес системы, что дало ему возможность получить доступ к административной панели управления.
К удивлению багхантера логин и пароль оказались: admin:admin .
Кейс 2: Доступ к КПП обьекту силовых органов
Багхантер смог получить доступ к панели администратора, используя имя пользователя и пароль по умолчанию: admin:admin
В результате багхантер смог получить доступ к конфигурации и базе данных Face Server, которая содержала более 5000 записей и включала в себя: личные фотографии лиц, имена сотрудников итд. Также доступ к панели может быть использовано для получения физического доступа к охраняему обьекту, добавив поддельные данные в систему.
Смотреть всем! Это нечто!
Кейс 3: Утечка медицинских данных 7 млн граждан
Один из исследователей, получив ПЦР справку, обнаружил IDOR в системе, позволяющую получить доступ к медицинским справкам (Анализ крови, пцр тесты, ВИЧ-анализы, ЗППП-анализы итд) 7 миллионов граждан. Уязвимость была оперативно устранена в течение 1-2 дней владельцем системы.
Кейс 4: Онлайн перепись населения
В прошлом году в Республике Казахстан была запущена платформа онлайн переписи населения. После запуска в течение пары часов багхантеры зарепортили уязвимость, позволяющую получить доступ в личный кабинет гражданина и, следовательно, изменить его данные.
Кейс 5: Уязвимость Mail.Kz — портал электронной почты
Одним из способов эксплуатации уязвимости является компрометация всех почтовых сообщений, к тому же он дает возможность отправлять сообщения от имени жертвы-пользователя.
Используя эту уязвимость, злоумышленник может перехватить конфиденциальные рабочие переписки жертвы, содержащие критическую информацию.
Кейс 6: Электронное правительство Республики Казахстан
Порядка 60 уязвимостей Электронного правительства, включая две XXE уязвимости, оперативно были устранены работниками Электронного правительства.
Министр цифрового развития РК поздравляет одного из багхантеров и вручает благодарственные письма ТОП10 багхантерам в айти баре.
Кейс 7: Банки второго уровня
В рамках меморандума с Национальным Банком РК, были проведены работы по выявлению и анализу уязвимостей на веб-ресурсах банков второго уровня
На фото Даурен Молдахметов (директор департамента ИБ Национального банка Республики Казахстан) награждает багхантеров от лица Нацбанка.
По итогу пилотирования, исследователями сдано было около 1000 уязвимостей в государственных информационных систем Казахстана, что подтверждает, что это была одна из самых успешных инициатив для национальной безопасности страны.
На данный момент клиентами платформы являются:
- Электронное правительство Республики Казахстан, Холдинг Зерде
- Финансовый сектор: Национальный банк РК, Банк развития Казахстана, Kaspi, Банки второго уровня Республики Казахстан и Республики Кыргызстан
- Обьединенная компания Колеса, Крыша, Маркет
- Интернет Компания PS
- WebTotem — система мониторинга и защиты веб-ресурсов
- и др
4 марта 2022 года договорились о сотрудничестве с Лабораторией Касперского и ГКНБ Кыргызстана в запуске программы по выявлению уязвимостей в Республике Кыргызстан. Ожидается в ближайшее время подключение банков второго уровня к данной платформе.
За все время выплачено уже порядка 100 000 долларов. Это не так много, но нужно учитывать, что это первый опыт в СНГ по запуску такой платформы. До конца 2023 года на выплаты выделено 700 000 долларов. В процессе подключения порядка 400 систем.
Выплаты организовываются как зарубежным багхантерам, так и российским.
Однако запуск платформы не самая легкая задача. Со времени запуска мы столкнулись со следующим рядом проблем в виде:
— Шантажирование одним из исследователей нашего клиента после сдачи уязвимости на платформе.
— Долгое реагирование со стороны госорганов и исправление уязвимостей. Иногда это занимало до 3 месяцев.
— Недобросовестность со стороны некоторых компании в части продажи одному из госорганов Республики Казахстан несуществующей багбаунти площадки.
Законодательство
Работа данной платформы неограничена только выявлением уязвимостей. Мы работаем над введением платформы в законодательство РК.
В закон Республики Казахстан «Об информатизации» вводятся такие положения, как:
- Центр выявления уязвимостей в обьектах информатизации — лицо, осуществляющее деятельность по координации зарегистрированных исследователей информационной безопасности на платформе выявления уязвимостей в обьектах информатизации, а также по отправлению уведомлений об устранение уязвимостей владельцам информационных системах.
- Исследователь информационной безопасности — независимый специалист в сфере информационно-коммуникационных технологий, зарегистрированный на платформе выявления уязвимостей в обьектах информатизации.
- Владелец критически важных обьектов информацинно-коммуникационной инфраструктуры обязан приобретать услуги Платформы выявления уязвимостей в соответствие с законодательством Республики Казахстан
Работы по платформе на самом деле много и мы получаем большое количество «хотелок» от наших клиентов. Уже на днях реализуется интеграция с Jira, в скором времени будет возможность выбирать отдельных багхантеров под ваш проект, но основное, на чем мы сейчас фокусируемся — это On-premise решение.
On-premise платформа
В данный момент мы пилотириуем подобное решение в Республике Кыргызстан, но уже есть большая потребность и от других наших клиентов по всему СНГ.
Возможность разворачивания on-premise платформы отдельно у себя дает:
- Единая авторизация для исследователей по всему миру через tumar.one
- Получение доступа ко всей сети исследователей
- Модерирование собственных отчетов и хранение этих отчетов на своих базах данных
- Платформа находится на серверах Заказчика
Заключение
Наличие BugBounty программы — дефакто стандарт сейчас для любого крупного проекта и является экономически эффективным решением, а также служит мостом между этичными хакерами и компаниями/государством.
Спасибо за внимание и будем рады видеть вас на нашей платформе =)
Источник: vc.ru
Tumar CSP
Криптопровайдер Тумар CSP является программным продуктом, который может использоваться не только в государственных закупках, но и во многих других областях связанных с электронным обменом информации, шифрованием, а так же авторизацией и аутентификацией посредством ЭЦП в Республике Казахстан. Данный продукт отвечает всем требованиям ГОСТ и является универсальным средством для решения многих задач. Tumar CSP версии 6.2 поддерживает все операционные системы включая Windows 10.
В данной странице нашего сайта мы предлагаем скачать Tumar CSP c лицензией действующей до 31 марта 2017 года.
Все файлы находятся в свободном доступе и были взяты с официального сайта центра межбанковских расчетов Национального Банка Республики Казахстан (kisc.kz).
Источник: pro-zakupki.ru
Tumar CSP
Утилита позволяет провести проверку пароля для съемных накопителей с ключами. Подключите устройство с ключом, для которого планируете поменять пароль.
Дата обновления:
Русский язык:
Разработчик:
Версия Windows:
Windows XP, Windows Vista, Windows 7, Windows 8, Windows 8.1, Windows 10
Основная задача программы Tumar CSP заключается в том, чтобы пользователи могли работать с устройствами по хранению ключей eToken PRO.
Использование программы
После успешной инсталляции программы можно приступать к работе. Кликните по значку утилиты в правом нижнем углу рабочего стола. Здесь вы можете сменить пароль, отформатировать устройство, провести диагностику работы. Ели вы не хотите, чтобы утилита запускалась в автоматическом порядке при загрузке операционной системы, выберите соответствующий пункт в меню. Удаление осуществляется через панель управления.
Смена и проверка пароля, форматирования
Подключите устройство с ключом, для которого планируете поменять пароль. Выберите соответствующую вкладку в программе. Перед вами откроется окно, в котором нужно подтвердить старые данные и указать новый пароль. Для подтверждения действия нажмите кнопку сохранить. Выберите вкладку проверка пароля.
В появившемся окошке необходимо ввести действующий пароль и нажать кнопку ОК. Если пароль верный, перед вами появится надпись, что пароль введен правильно. В случае необходимости, вы можете провести форматирование устройства. Подключите съемный накопитель. В основном меню программы нажмите по соответствующей кнопке.
Дождитесь завершения процедуры.
Ключевые особенности программы
- утилита позволяет провести проверку пароля для съемных накопителей с ключами;
- полная совместимость со всеми версиями Windows;
- удаление осуществляется через панель управления;
- подключите устройство с ключом, для которого планируете поменять пароль;
- присутствует возможность форматирования и смены пароля.
Источник: iowin.net
Tumar CSP 6.2 последняя версия
Программа Tumar CSP предназначена для криптографической защиты информации. Она позволяет защищать данные с помощью шифрования, тем самым обеспечивая ее недоступность для третьих лиц. Данные используются для передачи сведений на дальние расстояния. Для обеспечения их целостности используется специальный шифр.
Шифрование позволяет преобразовать сведения так, что они будут не читабельными для третьих лиц без использования специального ключа-доступа.
Для того, чтобы прочесть нужные документы, которые поступили в зашифрованном виде, необходимо ввести специальный ключ, и знать порядок ввода. Ключ составляется непосредственно той организацией, которая передает информацию. Для каждого преобразования новой информации доступ меняется, что позволяет обеспечить надежную защиту от посторонних.
Возможности
Чаще всего ее используют на предприятиях, где нужно сохранить конфиденциальность данных. Благодаря применению данной утилиты пользователи могут:
- Получить надежную защиту документов во время обработки или передачи.
- Дает возможность сохранять целостность содержимого ее достоверность. Возможность хранить и передавать без риска передачи или перехвата третьими лицами.
- Получение информации о пользователях, которым осуществляется передача данных.
- Получение специальных шифров для хранения и обработки данных.
Благодаря использованию программы Tumar CSP пользователи могут быть уверены в сохранности всех конфиденциальных источников предприятия, которые не должны попасть в третьи руки.
Установка
Для установки программного обеспечения необходимо:
- Запустить утилиту на компьютере. После появления диалогового окна нажать активную кнопку «далее».
- Установка лицензионная, поэтому руководство предлагает ознакомиться с правилами использования. Стоит поставить галочку возле активной строчки «Я принимаю условия» и нажать кнопку «далее».
- Необходимо установить активную галочку на «Установке программы».
- Заключительный этап – кнопка «Установить».
После происходит загрузка утилиты непосредственно на жёсткий диск компьютера. Далее необходимо перезагрузить компьютер для начала использования приложения.
Перед началом установки лучше отключить антивирус. Это делается для того, чтобы защитная система не заблокировала установочные файлы Tumar CSP.
Необходимо учитывать, что текстовые сообщения обрабатываются последовательно. Невозможно параллельно шифровать несколько данных.
При необходимости приложение можно деактивировать с компьютера через «панель управления».
Установки и использование программы дает возможность хранить и надежно защищать информационные данные. В случае передачи конфиденциальной информации осуществляется защита от попадания в третьи руки.
Скачать
Скачивайте софт ниже по кнопке.
Источник: windows-7.ru
Tumar
Tumar — это программа вознаграждения за найденные уязвимости в информационных системах и ресурсах.
Что такое Tumar?
Tumar — это программа, в ходе которой компания привлекает независимых исследователей (в индустрии называемые «белые хакеры», «багхантеры» или «ресерчеры») для выявления уязвимостей в информационных системах и ресурсах за монетарное вознаграждение.
Компания публично оглашает скоуп и уровень награды, после чего желающие могут пройти регистрацию на платформе и принять участие в Баг Баунти
Подход к решению уязвимости государственных и бизнес информационных систем
Получите прямой доступ к лучшим этическим хакерам. Проводите стресс-тестирование систем, ищите ошибки и устраняйте уязвимости, прежде чем они будут известны.
Новые отчеты
Все что вы не видите Исследователи могут обнаружить то, что ваши специалисты могли не заметить или упустить при обеспечении информационной безопасности Ваших систем и ресурсов
Проводите исследования Вы можете создать приватный проект и приглашать исследователей на решение вашей проблемы
Получайте отчет Приняв участие в программе, Вы сможете получить отчет об уязвимостях, подтвержденный аналитиками TSARKA, совместно с рекомендациями по их устранению
Начните исследование уже сейчас
Для участия в программе необходимо действовать этично и строго придерживаться установленных правил. Обязательно ознакомьтесь со всеми правилами, прежде чем приступать к поиску уязвимостей. Узнать больше
Надежно и безопасно
Наша инфраструктура построена для обеспечения конфиденциальности, безопасности и защиты наших клиентов, партнеров и исследователей
Соблюдение нормативов
Соблюдение нормативных требований является главным приоритетом, и мы гарантируем, что наши решения, системы и процессы соответствуют применимым законам и постановлениям.
Все конфиденциально
Для обеспечения безопасности потребителей и соблюдения требований клиентов мы используем шифрование на уровне дисков, управляемое AWS, и не собираем, не продаем и не храним данные участников платформы
Независимая проверка
Наши процессы и системы регулярно проверяются на соответствие отраслевым стандартам независимыми третьими сторонами.
Отзывы
Сделали Казнет немножечко безопаснее
Что-то новенькое для Казнета
Привет ! Меня зовут Данила, я увлекаюсь багбаунти последние года 4 — https://hackerone.com/danila На просторах казахстанского интернета после нахождения уязвимости не так часто представлялась возможность отправить отчет, дождаться исправления и получить вознаграждение, рискуя более вероятнее получить угрозы — через данную платформу можно отправить уязвимость и рассчитывать на вознаграждение и фикс серьезной проблемы — что-то новенькое для Казнета
Danila Chalykin Bughunter
Сделали Казнет немножечко безопаснее
Что-то новенькое для Казнета
Привет ! Меня зовут Данила, я увлекаюсь багбаунти последние года 4 — https://hackerone.com/danila На просторах казахстанского интернета после нахождения уязвимости не так часто представлялась возможность отправить отчет, дождаться исправления и получить вознаграждение, рискуя более вероятнее получить угрозы — через данную платформу можно отправить уязвимость и рассчитывать на вознаграждение и фикс серьезной проблемы — что-то новенькое для Казнета
Danila Chalykin Bughunter
Сделали Казнет немножечко безопаснее
Что-то новенькое для Казнета
Привет ! Меня зовут Данила, я увлекаюсь багбаунти последние года 4 — https://hackerone.com/danila На просторах казахстанского интернета после нахождения уязвимости не так часто представлялась возможность отправить отчет, дождаться исправления и получить вознаграждение, рискуя более вероятнее получить угрозы — через данную платформу можно отправить уязвимость и рассчитывать на вознаграждение и фикс серьезной проблемы — что-то новенькое для Казнета
Danila Chalykin Bughunter
Почему мы?
Наша компания пытается создать мост между большими компаниями и IT-сообществом. В совокупности мы получим более выгодный и эффективный механизм по обеспечению высокого уровня безопасности информационных систем и ресурсов.
исследователей Исследователи со всего мира ежедневно находят уязвимости в информационных системах и ресурсах
Источник: tumar.one