cupom com desconto - o melhor site de cupom de desconto cupomcomdesconto.com.br


Com sede no Japão, a LINE Corporation se dedica à missão de “Fechar a Distância”, reunindo informações, serviços e pessoas. O aplicativo de mensagens LINE lançado em junho de 2011, oferecendo aos usuários serviços de chat, chamada de voz e videochamada, bem como recursos como Linha do Tempo, Notícias e Adesivos LINE. Desde então, o aplicativo de mensagens cresceu para 167 milhões de usuários mensais globais. Mais recentemente, a LINE cresceu para fornecer outros serviços como AI, fintech, blockchain e vários serviços O2O como LINE Delima. Com tantos dados trocados entre seus milhões de usuários e seus canais de tecnologia emergentes, a equipe de segurança da LINE tem a tarefa de reduzir o risco em sua superfície de ataque em escala.

Recentemente, conversamos com o engenheiro de segurança de aplicativos LINE, Byoungyun Lee, para saber mais sobre como eles incorporam seu programa de recompensa de bugs no HackerOne em sua estratégia abrangente de segurança de aplicativos. Dê uma olhada no que aprendemos.

P: Quais são os principais princípios do LINE? Como você aborda a segurança do aplicativo?

Na segurança de aplicativos, tentamos considerar a segurança em todos os estágios do ciclo de vida de desenvolvimento. Desde os estágios iniciais do planejamento do projeto, até a revisão de quais ameaças podem ocorrer, até a realização de treinamentos de segurança periódicos para que os desenvolvedores possam considerar a segurança no estágio de implementação, até o monitoramento e revisão de nossos produtos quando a implementação for concluída. Sempre que houver novas atualizações de produto, repetimos essas etapas. Também estamos introduzindo técnicas de monitoramento automatizado para aumentar a eficiência e expandir o que pode ser coberto. Por meio do programa de recompensa de bugs, podemos incentivar a comunidade global de hackers a identificar quaisquer bugs que nossa equipe de segurança interna possa ter perdido.

O HackerOne tem uma grande comunidade de hackers e a plataforma necessária para operar o programa de recompensa de bug do LINE. Ao usar a plataforma do HackerOne e dar boas-vindas à comunidade, o LINE pode aumentar a eficiência operacional. Por meio da parceria com o HackerOne, podemos compartilhar novos bugs e aprender com as tendências de vulnerabilidade na plataforma, ao mesmo tempo que obtemos um guia que nos ajuda a criar um programa de recompensa de bugs de sucesso.

P: Como isso se relaciona com a filosofia e a missão da LINE de promover a segurança da aplicação?

A evolução da tecnologia prospera em responder àqueles que encontram vulnerabilidades. A segurança da LINE tem que acompanhar o campo da segurança. Nossa equipe de segurança está constantemente examinando de perto as várias ameaças e vulnerabilidades encontradas em nossos serviços, aprendendo com elas e tomando medidas para melhorar. Compartilhamos esses resultados com a comunidade hacker para encorajá-los e obter mais feedback deles.

A LINE adotou uma estratégia muito aberta em relação à segurança e gostaria de ser mais transparente com nossos usuários e com a comunidade hacker. Acreditamos que podemos construir a confiança do usuário ao adotar essa abordagem e que ela nos ajuda a construir relacionamentos melhores com a comunidade hacker, dando-lhes reconhecimento público por suas contribuições.

Além disso, nossa abordagem demonstra clara e abertamente como o LINE lida com bugs, o que promove o envolvimento se os hackers virem como trabalhamos com eles. Esperamos que isso os incentive a continuar trabalhando conosco no futuro.

P: Quais são os principais tipos de vulnerabilidades que um provedor de serviços como o LINE deve estar ciente?

Várias vulnerabilidades estão sendo descobertas e corrigidas pela equipe de segurança interna e pelos participantes do bug bounty. Vulnerabilidades tradicionais, como XSS, SSRF e vulnerabilidades devido a configurações incorretas, podem ser facilmente encontradas.

No entanto, existem hackers altamente qualificados que abordam os serviços da LINE e todo o ecossistema da LINE com uma compreensão mais profunda. Eles entendem como os serviços do LINE estão conectados e como e onde os dados internos fluem. Eles percebem como os problemas podem ocorrer entre os relacionamentos dos serviços e relatam as vulnerabilidades que são difíceis de encontrar com métodos ou ferramentas tradicionais. Por exemplo, os hackers podem conectar problemas não tão sérios com base nesse conhecimento e transformá-los em uma ameaça séria. Uma pequena falha aqui pode causar problemas maiores ali. Esses tipos de problemas são difíceis de detectar e custam muito para consertar e, como nossas soluções são complexas, muitas vezes exigem grandes mudanças em arquiteturas inteiras. Os provedores de serviços que operam enormes ecossistemas de produtos devem estar preparados para o tipo de vulnerabilidade que invariavelmente existe entre relacionamentos de serviço complexos.

P: Como você reage às tendências?

É sempre melhor encontrar problemas nos estágios iniciais de planejamento e design. É por isso que realizamos avaliações de segurança em todos os estágios de desenvolvimento do serviço. É difícil encontrar esses tipos de vulnerabilidades relacionais apenas procurando por vulnerabilidades em códigos-fonte e binários muito específicos.

Durante a avaliação de segurança no estágio de planejamento e design, avaliamos não apenas ameaças técnicas, mas também ameaças relacionadas aos negócios, como vazamento de informações pessoais, e ajudamos o desenvolvedor e as equipes de negócios a fazer as correções necessárias. No estágio de revisão e teste do código, mais uma vez avaliamos as ameaças e nos certificamos de que tudo está seguro.

P: Como o LINE funciona para melhorar o tratamento dos problemas de segurança ao longo do tempo?

Além do acima, também adotamos vários métodos para desenvolver nossa segurança:

cupom com desconto - o melhor site de cupom de desconto cupomcomdesconto.com.br
  • Educação do desenvolvedor: para aumentar a consciência de segurança dos desenvolvedores, compartilhamos as vulnerabilidades encontradas em nossos serviços, desde o programa de recompensa de bug até um evento periódico chamado “BugLINE”. Também executamos simulações do tipo wargame para que os desenvolvedores possam entender os problemas de segurança, explorando-os com suas próprias mãos.
  • Ferramentas de análise: A equipe de segurança está trabalhando em projetos para automatizar análises estáticas e dinâmicas, a fim de usar nossos recursos de forma eficiente e cobrir o máximo de serviços possível.
  • Scanner: construímos nosso próprio scanner para identificar rapidamente ameaças conhecidas ou configurações incorretas automaticamente. Ele é projetado especificamente para LINE, e nós o executamos em nossos serviços e infraestrutura periodicamente.
  • Lista de verificação: para ameaças que são difíceis de automatizar, mantemos um sistema de geração de lista de verificação para ajudar os engenheiros a eliminar riscos no desenvolvimento. A lista de verificação é gerada automaticamente dependendo dos tipos e ambientes de plataforma dos alvos de avaliação, para que a avaliação seja feita de forma eficiente.

P: Como aprendemos e lidamos com novos tipos de ataques? Como podemos garantir que a segurança da LINHA está sempre melhorando?

A maioria das equipes de segurança de aplicativos LINE tem uma história como hackers. Novos tipos de vulnerabilidades sempre nos entusiasmam. Assim que os encontramos, mergulhamos e começamos a analisar, e não paramos quando apenas os entendemos – em vez disso, continuamos a estudá-los até encontrar ameaças semelhantes ou métodos melhores. Documentamos a pesquisa e a compartilhamos internamente para melhorar as habilidades gerais de nossos colegas de equipe. E então realizamos a “enumeração completa” das ameaças em nossa infraestrutura para ver se há outros serviços com problemas semelhantes. Se essas tarefas puderem ser automatizadas, adicionamos tarefas ao nosso scanner para uma varredura completa. Assim que a enumeração for concluída, garantimos que esse tipo de ameaça seja sempre verificado durante as avaliações de segurança futuras. Pode ser adicionado a um scanner ou à lista de verificação.

P: Como os relatórios melhoraram sua capacidade de abordar e reagir a cenários de ameaças em potencial?

Esses relatórios têm sido boas oportunidades para sabermos o que estamos perdendo. Tentamos avaliar todos os serviços antes de lançar / atualizar, mas alguns escapam por entre nossos dedos. Os serviços legados antigos tendem a não ser mantidos também e os problemas podem se esconder nas sombras.

Para evitar que problemas aconteçam, configuramos sistemas de alerta para detectar mudanças nos serviços e estamos executando scanners que podem encontrar vulnerabilidades em sistemas legados. Por meio desse processo, eliminamos mais de 200 ameaças potenciais de serem liberadas.

P: Há alguma contribuição impressionante da comunidade hacker que você gostaria de destacar?

Existem muitos exemplos excelentes, mas os que me vêm à mente e que encorajo outros hackers a verificar incluem:

  1. Hacker @ngalog identificou e relatou um bug do IDOR em setembro de 2019. Este bug tinha uma pontuação de Severidade Crítica de 9 a 10. O bug do IDOR permitiria que um intruso assumisse uma conta oficial da LINE. Ron recebeu uma recompensa de US $ 4.750 por seus esforços. LINE corrigiu o bug, e divulgou a vulnerabilidade após corrigi-la em março de 2020.
  2. Hacker @escárnio identificou e relatou um bug de login OAUTH2 de XSS (cross site scripting) de gravidade média em setembro de 2019, que permitiria que agentes mal-intencionados roubassem credenciais do usuário por meio do envio de um URL ofuscado malicioso para usuários desavisados ​​que clicassem nele. A @derision recebeu uma recompensa de US $ 1.989,50 por seus esforços. LINE corrigiu o bug e divulgou a vulnerabilidade após corrigi-lo em Março de 2020.
  3. O hacker @shaolin_tw identificou e relatou um bug de alta gravidade em novembro de 2019. O bug era um bug de HTTP Request Smuggling Attack nos balanceadores de carga do LINE, que teria permitido que agentes mal-intencionados interceptassem potencialmente solicitações HTTP em um site, contornassem as configurações de segurança e obtivessem acesso não autorizado a dados confidenciais e até mesmo afetar outros usuários da rede. @shaolin_tw recebeu uma recompensa de US $ 9.000 por seus esforços. LINE corrigiu o bug em seus balanceadores de carga, verificou outras vulnerabilidades em potencial em sua infraestrutura e divulgou a vulnerabilidade depois disso em maio de 2020.

A comunidade global de hackers é valiosa para o LINE, pois somos capazes de alavancar as habilidades de alguns dos hackers mais talentosos do mundo e adaptar esses resultados para manter nossas políticas de segurança. Também é naturalmente claro que quanto mais hackers temos tentando descobrir bugs, mais devemos ser capazes de encontrar, criando um ambiente de usuário ainda mais seguro.

Reconhecemos que o dinheiro é muito importante para os caçadores de recompensas de insetos. Quando encontram um bug, eles precisam ser recompensados ​​adequadamente por isso. Portanto, garantimos recompensas suficientes pelo trabalho deles. E para induzir caçadores de recompensas de insetos mais talentosos a participar, precisamos dar a eles incentivos especiais.

P: O que queremos alcançar por estarmos nisso a longo prazo? Como é o sucesso?

Trabalhando com hackers, O LINE obtém mais uma camada de segurança do ponto de vista dos hackers, fornecendo uma verificação de segurança adicional dos serviços da LINE, o que nos leva um passo mais perto de nosso objetivo de um programa de segurança de primeira classe.


Se você gostaria de saber mais sobre programas de recompensa de bug ou verifique a visita do nosso programa de recompensas por bug do LINE https://hackerone.com/line.

Leia Também  Ransomware instala drivers maliciosos de gigabyte para desativar o antivírus
cupom com desconto - o melhor site de cupom de desconto cupomcomdesconto.com.br