Немає простої помилки: Microsoft винагороджує нові методи експлуатації

Скажімо, ви видавець програмного забезпечення з глобальною присутністю. Дірка безпеки в одному з ваших продуктів, яка дозволяє поганим хлопцям викрадати приватну інформацію або віддалено контролювати ПК жертви, може мати далекосяжні наслідки. Якби хтось виявив таку діру, ви б більше хотіли, щоб вони розповіли про неї, ніж продавали інформацію на чорному ринку кіберзлочинності, правда? Програми "помилки" мають на меті заохотити подібний обмін, нагороджуючи тих, хто виявляє діри в безпеці, грошима, славою чи обома, і вони є більш поширеними, ніж ви можете зрозуміти.

Баунті рясніє

Програма про помилки Yahoo повідомила новини на початку цього тижня. Група швейцарських дослідників, що досліджували програму, розпочалася з пошуку трьох серйозних помилок сценаріїв сценаріїв на веб-сайтах Yahoo, дірок у безпеці, які можуть дозволити зловмиснику взяти на себе адресу електронної пошти жертви Yahoo. (Знаходження цих помилок займало їх близько дня - страшно!). Після перевірки звіту Yahoo запропонував 12, 50 долара за кожну помилку, яку можна викупити в магазині компанії.

Ця нагорода здавалася багатьом незрозумілою. Відкликання цього звіту було досить значним, що Yahoo оголосив про зміни, над чим вони вже працювали. Нова програма банажів нагородить дослідників, які повідомляють про перевірену помилку готівкою, а не свопом, сумою від 150 до 15 000 доларів США, точною сумою, визначеною чіткою, заздалегідь визначеною формулою. Нова програма повинна діяти до кінця цього місяця, але вона має зворотну активність до 1 липня.

Думаєте, ви знайшли отвір у безпеці, яке може щось вартий? Веб-сайт bugcrowd перераховує всі поточні програми з виправлення помилок, розділяючи їх на ті, які пропонують нагороду, славу плюс банаж, просто славу чи винагороду. Клацніть посилання для певного товару чи послуги, щоб перейти на його сторінку звітності.

Наприклад, Facebook пропонує мінімальну суму в розмірі 500 доларів, без попередньо встановленого максимуму. Станом на серпень, Facebook виплатив такі мільйони понад мільйон доларів.

Виплати від Google за підтверджені помилки відповідають чітко визначеній таблиці значень. Вони варіюються від 100 доларів США за загальну ваду веб-сайту на низькому пріоритеті на сайті Google до 20 000 доларів США за вразливість виконання віддаленого коду у високочутливій службі. Деякі типи отримують винагороду в розмірі 1337 доларів, коли "кидають мову".

Microsoft відрізняється

Microsoft пропонує дослідникам 100 000 доларів або навіть більше за роботу, яка підвищує безпеку, але виявляється, що програма Microsoft не є точно великою помилкою. Кеті Муссуріс, старший провідний стратег з безпеки в Microsoft Trustworthy Computing, пояснила різницю.

"Майкрософт у розмірі 100 000 доларів за рахунок пом'якшення наслідків вимагає від учасників подання по-справжньому нових методів експлуатації проти нашої останньої платформи Windows", - сказав Муссуріс, - щоб ми могли вдосконалити захисні сили на всій платформі. Нові методи експлуатації важче знайти, ніж окремі уразливості та дізнатися про вони допоможуть нам захистити клієнтів від цілих класів атак, щоб поліпшити безпеку, не скориставшись однією вразливістю одночасно ». Вона зробила висновок: "Ми заохочуємо дослідників читати вказівки наших програм із виграшних щедрівок на веб-сайті www.microsoft.com/bountyprograms та надсилати свої матеріали на [email protected]".

Дослідник, який не лише повідомляє про нову техніку експлуатації, але й надає ідеї для захисту, може отримати право на додатковий бонус BlueHat в розмірі 50 000 доларів. І пам’ятайте, у 2012 році Microsoft виплатила понад чверть мільйона переможцям свого конкурсу BlueHat Prize.

Для отримання винагороди Майкрософт потрібно багато досвіду та багато генія. Безпека часто - це гра «коти-миші». Злочинці розробляють нові атаки, а захисники реагують на нові атаки. Придумати нові методи експлуатації (і захист від них) до того, як погані хлопці дійдуть, перетворюють оборону на лідерство. Як користувач Windows, я вітаю одержувачів. Спасибі, хлопці!