Diese Präsentation wurde erfolgreich gemeldet.
Wir verwenden Ihre LinkedIn Profilangaben und Informationen zu Ihren Aktivitäten, um Anzeigen zu personalisieren und Ihnen relevantere Inhalte anzuzeigen. Sie können Ihre Anzeigeneinstellungen jederzeit ändern.

GitHubにバグ報告して賞金$500を頂いた話

KLab社内勉強会ALM 発表資料

  • Loggen Sie sich ein, um Kommentare anzuzeigen.

GitHubにバグ報告して賞金$500を頂いた話

  1. 1. Earning $500 bounty for reporting vulnerability to GitHub GitHubにバグ報告して
 賞金$500を頂いた話 KLab社内勉強会ALM (2015/06/22)発表資料
  2. 2. 自己紹介 ❖ @hnw ❖ カレーとバグが大好物 ❖ セキュリティは趣味程度
  3. 3. GitHubにバグ報告してみた ❖ GitHub の Bug Bounty Programに連絡した
  4. 4. GitHubにバグ報告してみた ❖ GitHub の Bug Bounty Programに連絡した ❖ バグ報告に報奨金を払う仕組み ❖ Google, Facebookなどが有名 ❖ 探偵風Octocatがカワイイ
  5. 5. バグ報告した内容 ❖ 「GitHubユーザーが弱いSSH鍵を登録できる」
  6. 6. ❖ 公開鍵暗号で認証を行う ❖ 秘密鍵を持っている人だけがログイン権限を持つ ❖ 公開鍵を赤の他人に見られても普通は安全 SSHのしくみ
  7. 7. 弱い公開鍵とは(1) ❖ 鍵長が十分短いRSA/DSA鍵 ❖ 公開鍵の中身は巨大素数の積 ❖ 素因数分解できると秘密鍵が復元できる
  8. 8. 弱い公開鍵とは(2) ❖ 古いDebianで作られた公開鍵 ❖ DebianのOpenSSLのバグ(CVE-2008-0166) ❖ 鍵ペアが32768パターンしか作れなくなっていた ❖ 全パターンの鍵を公開している親切な人がいる
  9. 9. バグ報告した内容 ❖ 「GitHubユーザーが弱いSSH鍵を登録できる」 ❖ 弱い鍵が実際に登録されていることも指摘 ❖ github.comから公開鍵約500万件をクローリング ❖ うち243件が現実的に攻撃可能だった
  10. 10. タイムライン ❖ 1月に連絡 ❖ バグ認定されないと思っていた ❖ 6月に返事が来た ❖ 「既存の弱い鍵は無効化した」 ❖ 「弱い鍵を新規登録できないようにした」 ❖ 「賞金払うよ」
  11. 11. 500ドルもらった! ※ただしPayPalに4%くらい抜かれた
  12. 12. 賞金を受け取るまでのハードル(1) ❖ 「W-8BEN書いてね」 ❖ アメリカ政府に提出する税金関連の書類 ❖ 記入・提出はブラウザ上で完結 ❖ 役所の割に融通がきく ❖ さすがアメリカ(?)
  13. 13. 賞金を受け取るまでのハードル(2) ❖ 「PayPalアカウント教えて」 ❖ 「支払おうとしたらエラー出たけど…?」 ❖ パーソナルアカウントでは現金が受け取れない ❖ アカウントのアップグレードをした ❖ 約1週間かかる ❖ 事前にやっておくことをオススメします
  14. 14. 賞金以外にもらえたもの(1) おそらく非売品の探偵風Octocat Tシャツ!
  15. 15. 賞金以外にもらえたもの(2) 探偵風Octocatステッカー!
  16. 16. 賞金以外にもらえたもの(3) Bug Bounty Hunterとしての個人ページ!
  17. 17. 余談 ❖ 数ヶ月遅れで同じことに気付いた人がいた ❖ その人のブログ記事が結構話題になった ❖ その後GitHubが対応した ❖ 賞金を山分けにしてもいいくらいのタイミングでした
  18. 18. まとめ ❖ 気軽にバグ報告しよう! ❖ 想像よりハードルは低い ❖ ボチボチいい額が頂ける ❖ 賞金以外にも嬉しいものがもらえた
  19. 19. ご静聴 ありがとう ございました

×