Domov Securitywatch Žiadne jednoduché odmeny za chyby: microsoft odmeňuje nové techniky vykorisťovania

Žiadne jednoduché odmeny za chyby: microsoft odmeňuje nové techniky vykorisťovania

Video: Билл Гейтс: Как бюджеты штатов разрушают американские школы (November 2024)

Video: Билл Гейтс: Как бюджеты штатов разрушают американские школы (November 2024)
Anonim

Povedzme, že ste vydavateľ softvéru so svetovou pôsobnosťou. Bezpečnostná diera v jednom z vašich produktov, ktorá umožňuje zlodejom ukradnúť súkromné ​​informácie alebo vzdialene ovládať počítač obete, by mohla mať ďalekosiahle následky. Ak niekto objavil takúto dieru, radšej by ste o nej povedali, ako predajte informácie o čiernom trhu s počítačovou kriminalitou, nie? Cieľom programov „Bug Bounty“ je stimulovať tento druh zdieľania tým, že odmenia tých, ktorí objavia bezpečnostné dierky, hotovosťou, slávou alebo oboma spôsobmi, ktoré sú častejšie, než si môžete uvedomiť.

Bounties Abound

Program na odmenu za odmenu spoločnosti Yahoo uverejnil začiatkom tohto týždňa správy. Skupina švajčiarskych vedcov, ktorí program skúmali, začala lovom troch závažných chýb pri skriptovaní na viacerých stránkach na webových stránkach Yahoo, bezpečnostných dier, ktoré by útočníkovi mohli umožniť prevziať e-mailový účet obete Yahoo. (Nájdenie týchto chýb ich vzalo asi deň - strašidelné!). Po overení správy ponúkla spoločnosť Yahoo 12, 50 dolárov za každú chybu, ktorú je možné vyplatiť za zámienku v obchodnom dome.

Táto odmena sa zdala mnohým chintzy. Vôľa z tejto správy bola dosť významná, že Yahoo oznámila zmenu, na čom už pracovali. Nový program odmeny za chyby odmeňuje vedcov, ktorí nahlásia overenú chybu s hotovosťou, nie s lupou, vo výške od 150 do 15 000 dolárov, pričom presná suma je určená jasným preddefinovaným vzorcom. Nový program by mal byť zavedený do konca tohto mesiaca, je však retroaktívny do 1. júla.

Myslíte si, že ste našli bezpečnostnú dieru, ktorá by stála za niečo? Webová stránka bugcrowd obsahuje zoznam všetkých súčasných programov odmien o chybách, ktoré ich rozdeľujú na tie, ktoré ponúkajú odmenu, slávu plus lup, len slávu alebo žiadnu odmenu. Kliknutím na odkaz daného produktu alebo služby prejdete na stránku s hláseniami.

Napríklad Facebook ponúka minimálnu odmenu 500 dolárov bez maximálneho prednastavenia. Od augusta Facebook vyplatil v takýchto odmenách viac ako milión dolárov.

Výplaty od spoločnosti Google za overené chyby sa riadia dobre definovanou tabuľkou hodnôt. Tieto sa pohybujú od 100 dolárov za bežnú webovú chybu na webe Google s nízkou prioritou až po 20 000 dolárov, pokiaľ ide o zraniteľnosť pri vykonávaní vzdialeného kódu vo vysoko citlivej službe. V snahe prikývnuť hovoriť, niektoré typy prichádzajú s odmenou 1337 dolárov.

Microsoft sa líši

Spoločnosť Microsoft ponúka výskumníkom 100 000 dolárov alebo viac za prácu, ktorá zvyšuje bezpečnosť, ale ukázalo sa, že program spoločnosti Microsoft nie je presne taká odmena za chybu. Katie Moussouris, vedúca bezpečnostnej stratégie pre Microsoft Trustworthy Computing, vysvetlila tento rozdiel.

„Microsoft Bounty Bounty Bounty na zmiernenie 100 000 dolárov vyžaduje, aby účastníci predložili skutočne nové techniky vykorisťovania proti našej najnovšej platforme Windows, “ povedal Moussouris, „aby sme mohli vylepšiť obranu na celej platforme. Nové techniky vyťaženia je ťažké nájsť, než jednotlivé zraniteľné miesta a učenie sa o nich. pomôžu nám chrániť zákazníkov pred celými triedami útokov, aby sa zlepšila bezpečnosť pomocou skokov, namiesto riešenia jednej zraniteľnosti naraz. ““ Na záver uviedla: „Odporúčame výskumným pracovníkom, aby si prečítali pokyny našich prémiových programov na adrese www.microsoft.com/bountyprograms a poslali svoje príspevky na adresu [email protected].“

Vedecký pracovník, ktorý nielen hlási novú techniku ​​vykorisťovania, ale tiež poskytne nápady na obranu, sa môže kvalifikovať na bonus vo výške 50 000 dolárov BlueHat. Pamätajte, že v roku 2012 spoločnosť Microsoft vyplatila viac ako štvrť milióna víťazom súťaže o cenu BlueHat.

Podmienkou získania odmeny spoločnosti Microsoft je veľa skúseností a génia. Bezpečnosť je často hra mačiek a myší, zločinci vymýšľajú nové útoky a obrancovia na ne reagujú novými pultmi. Pred prichádzajúcimi novými technikami vykorisťovania (a obranami proti nim) skôr, ako zlí chlapci postavia vedenie do vedenia. Ako používateľ systému Windows pozdravujem príjemcov. Ďakujem chlapci!

Žiadne jednoduché odmeny za chyby: microsoft odmeňuje nové techniky vykorisťovania