Відео: Osito Gominola - Full Spanish Version - The Gummy Bear Song (Листопад 2024)
Багато великих програмних компаній виплачуватимуть «помилку» першій особі, яка повідомляє про певну дірку безпеки. Суми баунті різняться, але вони можуть варіюватися від будь-якої погладжування по спині до тисяч доларів. Майкрософт з метою зменшення обхідних ситуацій працює на значно вищому рівні. Для того, щоб вимагати винагороди в розмірі 100 000 доларів, дослідження повинно представити нову техніку експлуатації, ефективну проти самої останньої версії Windows. Цей вид відкриття є досить рідкісним явищем, і все ж, лише через три місяці після оголошення цієї програми, Microsoft сьогодні зробила свою першу нагороду в розмірі 100 000 доларів.
Історія співробітництва
Я розмовляв з Кеті Мусуріс, старшим керівником стратегії безпеки для Microsoft Trustworthy Computing, про цю нагороду та про історію роботи Microsoft з дослідниками та хакерами. Moussouris приєднався близько шести з половиною років тому як стратег з безпеки, але "ще до мого часу існувала довга історія Microsoft, яка займалася дослідниками та хакерами".
Муссурі подав як приклад дослідників, які виявили вразливість, що живила черв'яка Бластера. "Вищі посадові особи Microsoft відвідали їх у Польщі", - сказала вона. "Вони були завербовані … Вони все ще працюють з нами протягом останнього десятиліття".
Вона зазначила, що регулярні конференції BlueHat від Microsoft "приводять хакерів до Microsoft, щоб познайомитися з нашими людьми, навчати та розважати та робити нашу продукцію більш безпечною". У 2012 році конкурс премій BlueHat премії Microsoft присудив понад 250 000 доларів трьом науковим дослідникам, які придумали ніколи раніше не бачені нововведення.
Поточні Bounties
"Три місяці тому ми запустили три нових щедроти", - сказав Муссуріс, - два з яких все ще діють ". Протягом перших 30 днів попереднього попереднього перегляду Internet Explorer 11 компанія Microsoft запропонувала звичайні помилки. "Багато дослідників трималися, не повідомляючи про помилки, чекаючи остаточного виходу", - зазначив Муссуріс. "Ми вирішили заохотити їх подавати ці звіти". Наприкінці 30-денного запуску програми шість дослідників заявили про щедрість помилок на загальну суму понад 28 000 доларів.
Обхід пом'якшення заощадження спеціально винагороджує дослідників, які виявили цілком новий метод експлуатації. "Якби ми ще не знали про орієнтоване на повернення програмування, - сказав Мусуріс, - це відкриття заробило б 100 000 доларів". Це теж не просто "пиріг у небі". Дослідник, який хоче претендувати на цю винагороду, повинен надати робочу програму з підтвердженням концепції, яка демонструє техніку експлуатації.
"Було лише три способи, коли організація могла дізнатися про ці напади в минулому", - зазначив Муссуріс. "По-перше, наші внутрішні дослідники придумали б щось. По-друге, це з'явиться в змаганнях з експлуатації, як Pwn2Own. По-третє, і найгірше, воно вивернеться в активну атаку". Вона пояснила, що нинішня програма щедрої програми доступна цілий рік, а не лише на змаганнях. "Якщо ви дослідник, який хоче грати добре, хто хоче захищати людей, зараз є щедрість. Не потрібно чекати".
І Переможець …
Moussouris підрахував, що відкриття, що є досить великими, щоб заслужити виграш, трапляються лише кожні три роки. Її команда була здивована і рада, що знайшла гідного одержувача лише через три місяці після початку програми щедрості. Джеймс Форшоу, керівник дослідження вразливості для інформаційної безпеки контексту, що базується у Великій Британії, стає першим, хто отримав обмін пом'якшенням.
У електронному листі до SecurityWatch, Форшав сказав про це: "Майкрософт" Байпас проти пом'якшення "дуже важливий, щоб допомогти перенести фокус програм щедрості з образи на захист. Це стимулює таких дослідників, як я, витрачати час і зусилля на безпеку в глибині, а не просто прагнення до загального підрахунку вразливості ". Форшоу продовжив: "Щоб знайти свій виграшний запис, я вивчив наявні сьогодні наслідки пом'якшення наслідків, і після мозкового штурму я виявив декілька потенційних кутів. Не всі були життєздатними, але після деякої наполегливості я нарешті досяг успіху".
Що стосується саме того, що виявив Форшо, то це не виявиться відразу. Вся справа в тому, щоб дати часу Microsoft налагодити захист, перш ніж погані хлопці зроблять те саме відкриття, зрештою!