Video: Мэвл — Целовашка (Listopad 2024)
Mnoho velkých softwarových společností zaplatí „bug bounty“ první osobě, která ohlásí určitou bezpečnostní díru. Bounty částky se liší, ale mohou se pohybovat kdekoli od pat po zádech až po tisíce dolarů. Microsoft Mitigation Bypass Bounty funguje na výrazně vyšší úrovni. Aby bylo možné získat odměnu 100 000 dolarů, musí výzkum představit zcela novou techniku využití, která je účinná proti nejnovější verzi systému Windows. Tento druh objevu je docela neobvyklý, a přesto, pouhé tři měsíce po oznámení tohoto programu, společnost Microsoft dnes získala své první 100 000 dolarů.
Historie spolupráce
Mluvil jsem s Katie Moussouris, vedoucí bezpečnostní strategie vedoucí pro skupinu Microsoft Trustworthy Computing, o této ceně ao historii společnosti Microsoft v práci s vědci a hackery. Moussouris se připojil před asi šesti a půl lety jako bezpečnostní stratég, ale „existovala dlouhá historie spolupráce Microsoftu s vědci a hackery ještě před mým časem“.
Jako příklad uvedl Moussouris vědce, kteří objevili zranitelnost, která poháněla červa Blaster. „Vedoucí pracovníci Microsoftu je navštívili v Polsku, “ řekla. "Byli přijati… Stále s námi pracují posledních deset let."
Poznamenala, že pravidelné konference BlueHat společnosti Microsoft „přinášejí hackerům společnosti Microsoft, aby se setkali s našimi lidmi, vzdělávali a bavili se a zvyšovali bezpečnost našich produktů“. V roce 2012 udělila společnost Microsoft v soutěži BlueHat Prize cenu více než 250 000 $ třem akademickým vědcům, kteří přišli s dosud nevídanými inovacemi.
Aktuální odměny
"Před třemi měsíci jsme spustili tři nové odměny, " řekl Moussouris, "z nichž dvě jsou stále aktivní." Během prvních 30 dnů náhledu v aplikaci Internet Explorer 11 společnost Microsoft nabídla běžné chyby. „Mnoho vědců se drželo, neohlašovalo chyby a čekalo na konečné vydání, “ poznamenal Moussouris. "Rozhodli jsme se je povzbudit, aby tyto zprávy předkládali." Na konci 30denního běhu tohoto programu si šest vědců vyžádalo odměny za chyby v celkové výši přes 28 000 $.
Mitigation Bypass Bounty konkrétně odměňuje vědce, kteří objevují zcela novou metodu vykořisťování. „Kdybychom nevěděli o programování zaměřeném na návrat, “ řekl Moussouris, „tento objev by vydělal 100 000 dolarů.“ Nejedná se pouze o výzkum na obloze. Vědec, který chce tuto odměnu nárokovat, musí předložit funkční program důkazu o konceptu, který prokazuje techniku vykořisťování.
„Existovaly pouze tři způsoby, jak se organizace mohla o těchto útocích v minulosti dozvědět, “ poznamenal Moussouris. „Za prvé, naši interní vědci přijdou s něčím. Za druhé, objeví se v soutěži o vykořisťování, jako je Pwn2Own. Zatřetí, a nejhorší, vynoří se v aktivním útoku.“ Vysvětlila, že současný program odměn je k dispozici po celý rok, nejen v soutěži. „Pokud jste vědec, který chce hrát pěkně, chce chránit lidi, teď je k dispozici odměna. Nemusíte čekat.“
A vítězem je...
Odhady Moussouris, že objevy dostatečně velké, aby si zasloužily odměnu, se dějí pouze jednou za tři roky. Její tým byl překvapený a potěšený, že našel hodného příjemce jen tři měsíce po zahájení odměnového programu. James Forshaw, vedoucí výzkumu zranitelnosti pro britskou kontextovou bezpečnost informací, se stal prvním, kdo obdržel Bending Bounty pro zmírnění.
V e-mailu adresovaném společnosti SecurityWatch to Forshaw uvedl takto: „Společnost Microsoft's Mitigation Bypass Bounty je velmi důležitá proto, aby pomohla posunout zaměření odměn za odměnu z přestupku na obranu. usilující o celkový počet zranitelností. “ Forshaw pokračoval: „Abych našel svůj vítězný příspěvek, studoval jsem dnes dostupné zmírnění a po brainstormingu jsem identifikoval několik potenciálních úhlů. Ne všichni byli životaschopní, ale po nějaké vytrvalosti jsem byl nakonec úspěšný.“
Pokud jde o přesně to, co Forshaw objevil, nebude to hned odhaleno. Celým bodem je dát Microsoftu čas na nastavení obrany, než padouchy nakonec udělá stejný objev!
