Video: Navatics MITO Solar 500m Wireless Underwater ROV Review - Part 1 - [Unboxing, Inspection, Setup] (Septembra 2024)
Mnoho veľkých softvérových spoločností zaplatí „odmenu za chybu“ prvému človeku, ktorý nahlási konkrétnu bezpečnostnú dieru. Sumy sa líšia, ale môžu sa pohybovať od kdekoľvek po pat až po tisíce dolárov. Microsoft Mitigation Bypass Bounty funguje na výrazne vyššej úrovni. Aby bolo možné získať odmenu 100 000 dolárov, musí výskum predstaviť úplne novú techniku využívania, ktorá je účinná oproti najnovšej verzii systému Windows. Tento druh objavovania je pomerne neobvyklý, a napriek tomu už tri mesiace po vyhlásení tohto programu spoločnosť Microsoft udelila prvú cenu 100 000 dolárov.
História spolupráce
Hovoril som s Katie Moussouris, vedúcou bezpečnostnou stratégiou skupiny Microsoft Trustworthy Computing group, o tejto cene ao histórii spoločnosti Microsoft v oblasti spolupráce s výskumníkmi a hackermi. Moussouris sa pripojil asi pred šiestimi a pol rokmi ako bezpečnostný stratég, ale „existovala dlhá história spolupráce Microsoftu s výskumníkmi a hackermi ešte pred mojím časom“.
Moussouris uviedol ako príklad vedcov, ktorí objavili zraniteľnosť, ktorá poháňa červa Blaster. „Vedúci predstavitelia spoločnosti Microsoft ich navštívili v Poľsku, “ uviedla. "Boli prijatí do zamestnania… Stále pracujú s nami už desať rokov."
Konštatovala, že pravidelné konferencie spoločnosti BlueHat spoločnosti Microsoft „privádzajú hackerov do spoločnosti Microsoft, aby sa zoznámili s našimi ľuďmi, vzdelávali a bavili sa a zvyšovali bezpečnosť našich produktov“. V roku 2012 ocenila spoločnosť Microsoft v súťaži BlueHat Prize Award viac ako 250 000 dolárov trom akademickým výskumníkom, ktorí prišli s doteraz nevídanými inováciami.
Aktuálne odmeny
„Pred tromi mesiacmi sme spustili tri nové odmeny, “ uviedol Moussouris, „z ktorých dve sú stále aktívne.“ Počas prvých 30 dní ukážky prehľadávača Internet Explorer 11 spoločnosť Microsoft ponúkla bežné odmeny za chyby. „Mnoho výskumníkov sa držalo, neohlásilo chyby a čakalo na konečné vydanie, “ poznamenal Moussouris. „Rozhodli sme sa ich povzbudiť, aby tieto správy predkladali.“ Na konci tohto 30-dňového programu tohto programu si šesť vedcov nárokovalo odmenu v celkovej výške viac ako 28 000 dolárov.
Program Mitigation Bypass Bounty konkrétne odmeňuje výskumných pracovníkov, ktorí objavia úplne novú metódu vykorisťovania. „Keby sme už nevedeli o programovaní zameranom na návrat, “ povedal Moussouris, „tento objav by zarobil 100 000 dolárov.“ Nejde iba o výskum na oblohe. Výskumný pracovník, ktorý chce uplatniť túto odmenu, musí poskytnúť funkčný program koncepcie dokazovania, ktorý demonštruje techniku vykorisťovania.
„Organizácia sa v minulosti mohla o týchto útokoch dozvedieť iba tri spôsoby, “ poznamenal Moussouris. „Po prvé, naši interní vedci prídu s niečím. Po druhé, objaví sa v súťaži o vykorisťovanie, ako je Pwn2Own. Po tretie, a najhoršie by to vyústilo v aktívny útok.“ Vysvetlila, že súčasný prémiový program je k dispozícii celoročne, nielen na súťaži. „Ak ste výskumník, ktorý chce hrať pekne a chce chrániť ľudí, teraz je k dispozícii odmena. Nemusíte čakať.“
A víťazom je...
Odhady Moussouris, že objavy, ktoré sú dostatočne veľké na to, aby si zaslúžili odmenu, sa stávajú každé tri roky. Jej tím bol prekvapený a potešený, že našiel dôstojného príjemcu už tri mesiace po začiatku výplaty. James Forshaw, vedúci výskumu zraniteľnosti v Spojenom kráľovstve pre kontextové informácie o bezpečnosti, sa stal prvým, ktorý získal cenu Bounty na zmiernenie.
V e-maile adresovanom spoločnosti SecurityWatch spoločnosť Forshaw uviedla toto: „Spoločnosť Microsoft zameraná na zmiernenie obtoku Bounty je veľmi dôležitá na to, aby pomohla posunúť zameranie prémiových programov z trestných činov na obranu. usilujúc sa o celkový počet zraniteľností. ““ Forshaw pokračoval: „Aby som našiel svoj víťazný príspevok, študoval som dnes dostupné zmiernenia a po brainstorminge som identifikoval niekoľko potenciálnych uhlov. Nie všetky boli životaschopné, ale po určitej vytrvalosti som bol nakoniec úspešný.“
Čo sa týka presne toho, čo Forshaw objavil, nebude to hneď odhalené. Celkovým bodom je poskytnúť Microsoftu čas na to, aby nastavil obranu skôr, ako zbabelci urobia ten istý objav!
