"Яндекс" ищет уязвимости всем миром

"Яндекс" стал первой российской компанией, вступившей в международное сообщество по безопасности Common Vulnerabilities and Exposures (CVE), объединяющее таких мировых гигантов, как Apple, Google, IBM, Oracle и др. В свою очередь, "Яндекс.Браузер" получил статус CNA, который позволяет участникам обмениваться опытом и информацией о найденных уязвимостях в софте и ускорять процесс их поиска. По мнению участников рынка, это еще больше поможет "Яндексу" в продвижении его продуктов на международном рынке.

О том, что "Яндекс" официально вступил в международное сообщество по безопасности CVE, "Ъ" сообщили в компании и подтвердили в американской корпорации MITRE, поддерживающей CVE. "Яндекс.Браузер" получил статус CNA (CVE Numbering Authority), что позволяет участникам оперативно обмениваться информацией о найденных уязвимостях в ПО, ускорять процесс их поиска, обмениваться опытом и поощрять людей, активно участвующих в программе по поиску ошибок (Bug Bounty). "Яндекс" стал первым из российских компаний, присоединившихся к CVE.

По данным на август 2016 года, статусом CNA обладают более 20 крупнейших вендоров софта в мире — среди них такие компании, как Apple, Google, IBM, Oracle, Symantec, Intel и др. Как поясняют в интернет-компании, для "Яндекс.Браузера" вступление в ассоциацию CVE означает, что теперь поиск ошибок и их устранение будут происходить быстрее за счет оперативной системы оповещений о новых ошибках и уязвимостях, найденных в продукте. "Яндекс" также сможет наблюдать за тем, какие ошибки были найдены в продуктах других компаний, а значит, перенимать опыт. "Это означает, что и сам продукт становится более защищенным",— рассчитывают в "Яндексе".

По оценке LiveInternet, в конце октября 2016 года дневная аудитория "Яндекс.Браузера" составляла 12 млн пользователей на настольных компьютерах и ноутбуках и 6 млн — на мобильных устройствах. Недельная доля "Яндекс.Браузера" в России — 19,4% на компьютерах (второе место после Google Chrome, доля которой составляет 42,6%) и 4,7% на мобильных устройствах (Google Chrome — 56,3%, Mobile Safari — 20,5%, Android Browser — 11,2%).

Членство в CVE — хороший шаг для продвижения на международном рынке, считает руководитель направления Application Security компании Solar Security Даниил Чернов. По его мнению, на Западе сформировалось определенное недоверие к российским компаниям, и помощь сообществу, которое известно во всем мире как крупный источник описаний уязвимостей, может помочь в преодолении этого предубеждения. Этот факт говорит о важности темы кибербезопасности для "Яндекса", отмечает консультант по интернет-безопасности Cisco Алексей Лукацкий: "Исследователи, ищущие дыры в "Яндекс.Браузере", смогут получать идентификаторы не от MITRE, что долго, а от "Яндекса" напрямую".

Включение "Яндекс.Браузера" в CVE позволит в больших организациях, практикующих vulnerability management (управление уязвимостями), учитывать информацию по "Яндекс.Браузеру", продолжает ведущий исследователь ИБ Digital Security Сергей Белов. "Это наверняка понравится исследователям, которые будут искать уязвимости в "Яндекс.Браузере",— по итогам работ они смогут получать персональные CVE-номера уязвимостей и указывать их в резюме",— говорит он.

В России собственную базу публично известных уязвимостей ведет ФСТЭК, однако служба в первую очередь агрегирует уязвимости, характерные для государственных информационных систем и автоматизированных систем управления производственными и технологическими процессами критически важных объектов. Многие компании, в том числе "Яндекс", "Лаборатория Касперского" и Mail.ru Group, участвуют в программах Bug Bounty, в рамках которых выплачивают исследователям вознаграждения за найденные уязвимости в своих продуктах, о которых ранее не было известно (0day). Однако еще более крупные выплаты за 0day предлагают биржи вроде Zerodium, Zeronomicon, Zero Day Initiative и Mitnick`s Absolute Zero-Day Exploit Exchange, созданная бывшим хакером и ныне ИБ-специалистом Кевином Митником. Они покупают у исследователей и хакеров уязвимости, а затем перепродают их заинтересованным компаниям и госструктурам, чаще всего не ставя в известность вендора. Так, Zerodium за уязвимости в Android и Windows Phone готова заплатить до $100 тыс., а в iOS — до $500 тыс.
Подробнее: https://www.kommersant.ru/doc/3131651..._campaign=four

Я не берусь говорить что яндекс супер , да браузер не плахой. Что то есть хорошее что то не для меня только одно не нравится в нем что нельзя заводить яндекс деньги людям и других стран СНГ только для россиян .

Согласен на 100%. Периодически возникает надобность в использовании этой платежки. Но при регистрации в качестве пользователя из другой страны, тут же натыкаешься на трудности в использовании яндекс денег в полной мере.

Да тоже согласна, данный кошелёк иногда необходим, плохо что есть ограничения на страны СНГ, недавно завела Яндекс, где то прочитала как поднять в обход системы, там какой то уровень. В итоге деньги спокойно принимаются, а снять их не могу. Проблемы с паспортными данными пройти модификацию,может кто подсеажет, что делать чтоб перевести оттуда деньги. Как вернутся на прежний статус где не нужны паспортные данные.

Молодцы, не останавливаются на том, что есть и постоянно развиваются. Глядишь и действительно будут у Яндекса значимые успехи на международном рынке. Хотя лично я сбежала от Яндекса к Гуглу ))) Удобнее мне гугл и там нет лишней инфы. На Яндексе всё время глаза зацеляются за яндекс-новости.