ПрограммыРейтинг пользователей
RU

PT NAD

Компания — Positive Technologies

PT Network Attack Discovery (PT NAD) — система поведенческого анализа сетевого трафика (network traffic analysis, NTA). Это инструмент для расследований, который обнаруживает вредоносную активность злоумышленников на периметре и внутри сети

Описание программы

Positive Technologies непрерывно работает над созданием продуктов, которым доверяют компании со всего мира. Наш опыт показывает, что абсолютно безопасных систем не существует. Именно поэтому мы разместили программу вознаграждения за найденные в наших сервисах уязвимости.

 

Скоуп

  • PT NAD последней версии. Для удобства доступен стенд по адресу 185.71.53.245:5556

Для PT NAD доступна документация https://help.ptsecurity.com/projects/nad/latest/ru-RU/help/74560267

Примечание. Если вы обнаружили уязвимость, не касающуюся перечисленных выше ресурсов, просим вас также сообщить нам о ней. Наша команда по безопасности изучит ваш отчет и устранит проблему.

Требования к участникам

  1. Участвовать в программе могут все заинтересованные исследователи в возрасте от 18 лет.
  2. Исследователи в возрасте от 14 до 18 лет имеют право участвовать в программе только при наличии письменного согласия родителей или законного представителя.

Исследователям необходимо:

  1. Соблюдать правила, которые устанавливает Positive Technologies в своей программе по раскрытию уязвимостей, а также правила платформы The Standoff 365 Bug Bounty.
  2. Соблюдать правила конфиденциальности информации. Запрещено получать доступ к данным другого пользователя без его согласия, изменять и уничтожать их, а также раскрывать любую конфиденциальную информацию, случайным образом полученную в ходе поиска уязвимостей или их демонстрации. Преднамеренный доступ к этой информации запрещен и может быть признан незаконным.
  3. Поддерживать общение с командой по безопасности, направлять ей отчеты о выявленных уязвимостях, оформленные согласно требованиям, и давать обратную связь, если у специалистов возникнут
    вопросы об отчете.
  4. Не разглашать информацию об уязвимости раньше срока. Рекомендуется оперативно сообщать о выявленной уязвимости. Запрещено разглашать сведения об уязвимости до их публичного раскрытия Positive Technologies или до истечения установленного срока.

Обязанности Positive Technologies

Positive Technologies обязуется:

  1. Отдавать приоритет задачам безопасности, оперативно подходить к устранению обнаруженных уязвимостей.
  2. Уважать исследователей, не препятствовать раскрытию информации об отчете без четких на то оснований.
  3. Не выдвигать исследователям необоснованные обвинения, связанные с участием в конкурсе.

 

Публичное раскрытие информации об уязвимости

Публичное раскрытие по взаимному согласию. Если обе стороны не против раскрытия, детали отчета раскрываются. Взаимное согласие должно быть дано в комментариях к отчету. До получения взаимного согласия разглашение не допускается.

 
Публичное раскрытие по взаимному соглашению. Positive Technologies будет открыто общаться с исследователями о сроках раскрытия информации. Стороны могут выбрать время, в которое будет обнародовано содержание отчета.

 
Публичное раскрытие для защиты пользователей продукта. Обнаруженную уязвимость могут активно использовать злоумышленники, или, например, в будущем эта уязвимость неминуемо нанесет вред пользователям. Поэтому при наличии доказательств компания может немедленно предоставить общественности сведения о проблеме, чтобы пользователи приняли защитные меры.

 
Увеличение сроков публичного раскрытия. Для устранения некоторых уязвимостей может потребоваться более 60 дней. В этих случаях содержание отчета может оставаться закрытым, чтобы у Positive Technologies было достаточно времени для решения проблемы безопасности.

Недопустимые действия

Исследователям запрещено:

  • Воздействовать на учетные записи других пользователей без их разрешения.
  • Использовать обнаруженную уязвимость в личных целях.
  • Использовать инструменты тестирования уязвимостей, автоматически генерирующие значительные объемы трафика и приводящие к атакам с исчерпанием ресурсов.
  • Проводить атаки, наносящие вред целостности и доступности сервисов (например, DoS-атаки, брутфорс-атаки и т. д.), пытаться эксплуатировать уязвимость, нацеленную на исчерпание ресурсов. Следует сообщить о проблеме команде по безопасности Positive Technologies, которая проведет атаку в тестовой среде.
  • Проводить физические атаки на персонал, дата-центры и офисы компании.
  • Проводить атаки на системы Positive Technologies с использованием техник социальной инженерии (фишинг, вишинг и т. д.) и спам-рассылок клиентам, партнерам и сотрудникам.
  • Исследовать серверную инфраструктуру, где размещены веб-приложения.

Вознаграждения за уязвимости

Вознаграждаются только высокие и критические уязвимости серверной стороны. Остальные подтвержденные проблемы будут приняты и исправлены. Client-side уязвимости не оплачиваются.

Размер вознаграждения за уязвимости, найденные в используемом компанией ПО сторонних производителей (например, opensource-библиотеках), оценивается по минимальной границе, но может быть увеличен по решению конкурсной комиссии. Все остальные уязвимости, не указанные в списке, могут быть оплачены по решению комиссии в зависимости от их уровня опасности (но вознаграждение не гарантируется).

Positive Technologies не выплачивает вознаграждение:

  • за отчеты сканеров безопасности и других автоматизированных инструментов;
  • раскрытие несекретной информации (наименования ПО или его версии, технические параметры и метрики системы и пр.);
  • информацию об IP-адресах, DNS-записях и открытых портах;
  • проблемы и уязвимости, которые основаны на версии используемого продукта, без демонстрации их эксплуатации;
  • уязвимости, эксплуатацию которых блокируют СЗИ, без демонстрации обхода СЗИ;
  • отчеты о небезопасных шифрах SSL и TLS без демонстрации их эксплуатации;
  • отчеты об отсутствии SSL и других лучших практик (best current practices);
  • уязвимости, информацию о которых ранее передали другие участники конкурса (дубликаты отчетов);
  • уязвимости 0-day или 1-day, информация о которых получена командой по безопасности из открытых источников
  • уязвимости к атаке перебором, если в отчете не описан метод, имеющий существенно более высокую эффективность, чем прямой перебор
  • обход правил обнаружения атак

Требования к оформлению отчета

Отчет об уязвимости должен содержать:

  • Название уязвимости.
  • Название продукта и версию затрагиваемого ПО (компонента).
  • Проверку концепции (proof of concept) или подробное описание обнаруженной уязвимости и шагов по ее воспроизведению.
  • Описание сценария атаки: кто может использовать уязвимость, для какой выгоды, как она эксплуатируется и т. д.
  • Рекомендации по устранению уязвимости.

 

Видео и скриншоты могут быть приложены к отчету об ошибке, но не могут его заменить.

Если при исследовании сервисов компании вы обнаружили несколько проблем безопасности, подготовьте отчеты о каждой из выявленных уязвимостей отдельно.

Передача информации об обнаруженной уязвимости происходит согласно правилам платформы.

Запущена 29 декабря 2023
Изменена 2 апреля, 13:26
Формат программы
По уязвимостям
Награда за уязвимости
по уровню опасности
Критический
500K–1M ₽
Высокий
200K–500K ₽
Средний
0–0 ₽
Низкий
0–0 ₽
Отсутствует
0–0 ₽
До вычета налога
Топ-хакеры
Общий рейтинг
Баллы
@zipa
1,5K
@ubepkr
Дмитрий
1K
@lujin009
0
Статистика по программе
20 000 ₽
Всего выплачено
20 000 ₽
Средняя выплата
0 ₽
Выплачено за последние 90 дней
6
Всего отчетов принято
9
Всего отчетов сдано
Описание
Уязвимости
Рейтинг