Video: JUAN BUSTOS - Kolumbian verkkokameramallit Cam Life (2018) Dokumentti (Lokakuu 2024)
Monet suuret ohjelmistoyritykset maksavat "virheen palkkion" ensimmäiselle henkilölle, joka ilmoittaa tietyn tietoturvan aukon. Bounty-määrät vaihtelevat, mutta ne voivat vaihdella missä tahansa takana olevasta patista tuhansiin dollareihin. Microsoftin lieventävä ohitusbounty toimii selvästi korkeammalla tasolla. 100 000 dollarin palkkion saamiseksi tutkimuksen on esitettävä aivan uusi hyväksikäyttötekniikka, joka on tehokas Windowsin uusimpaan versioon verrattuna. Tällainen löytö on melko harvinaista, ja vain kolme kuukautta ohjelman ilmoittamisen jälkeen Microsoft antoi tänään ensimmäisen palkinnonsa 100 000 dollarilla.
Yhteistyön historia
Puhuin Microsoft Trustworthy Computing -ryhmän vanhemman tietoturvastrategian johtajan Katie Moussouriksen kanssa palkinnosta ja Microsoftin historiasta työskennellessään tutkijoiden ja hakkereiden kanssa. Moussouris liittyi noin kuusi ja puoli vuotta sitten turvallisuusstrategiaksi, mutta "Microsoftilla oli pitkä historia tutkijoiden ja hakkereiden kanssa tekemisissä jo ennen aikani."
Moussouris antoi esimerkkinä tutkijoille, jotka löysivät Blaster-matoja virranneen haavoittuvuuden. "Microsoftin vanhemmat virkamiehet vierailivat heissä Puolassa", hän sanoi. "Heidät rekrytoitiin… He työskentelevät edelleen kanssamme viimeisen vuosikymmenen ajan."
Hän totesi, että Microsoftin säännölliset BlueHat-konferenssit "tuovat hakkereita Microsoftiin tapaamaan ihmisiä, kouluttamaan ja viihdyttämään sekä tekemään tuotteistamme turvallisempia". Vuonna 2012 Microsoftin BlueHat-palkintokilpailu myönsi yli 250 000 dollaria kolmelle akateemiselle tutkijalle, jotka keksivät ennennäkemättömiä innovaatioita.
Nykyiset rahat
"Kolme kuukautta sitten lanseerasimme kolme uutta rahastoa", sanoi Moussouris, "joista kaksi on edelleen aktiivinen." Internet Explorer 11: n esikatselun ensimmäisen 30 päivän aikana Microsoft tarjosi tavallisia virheitä. "Monet tutkijat pitivät kiinni, eivät ilmoittaneet virheistä, odottavat lopullista julkaisua", totesi Moussouris. "Päätimme kannustaa heitä toimittamaan nämä raportit." Ohjelman 30 päivän ajon lopussa kuusi tutkijaa oli väittänyt, että virheitä oli yli 28 000 dollaria.
Lieventävä ohituspanos palkitsee erityisesti tutkijoita, jotka löytävät kokonaan uuden hyödyntämismenetelmän. "Jos emme olisi jo tienneet paluupohjaisesta ohjelmoinnista", sanoi Moussouris, "löytö olisi ansainnut 100 000 dollaria." Se ei ole vain pie-taivaalla-tutkimusta. Tutkijan, joka haluaa vaatia tätä palkkioita, on toimitettava toimiva konseptikontrolliohjelma, joka osoittaa hyväksikäyttötekniikan.
"Organisaatiolla oli vain kolme tapaa oppia näistä hyökkäyksistä aiemmin", totesi Moussouris. "Ensinnäkin, sisäiset tutkijamme keksivät jotain. Toiseksi, se esiintyisi Pwn2Own-kaltaisessa hyväksikäytökilpailussa. Kolmanneksi, ja pahinta, se ilmestyisi aktiivisessa hyökkäyksessä." Hän selitti, että nykyinen palkkio-ohjelma on käytettävissä ympäri vuoden, ei vain kilpailussa. "Jos olet tutkija, joka haluaa pelata mukavasti ja joka haluaa suojella ihmisiä, palkkio on saatavana nyt . Sinun ei tarvitse odottaa."
Ja voittaja on...
Moussouris arvioi, että niin suuria löytöjä, että palkkio ansaitsisi, tapahtuu vasta noin kolmen vuoden välein. Hänen tiiminsä olivat yllättyneitä ja iloisia löytäessään arvokkaan vastaanottajan vain kolme kuukautta palkkio-ohjelman alkamisen jälkeen. Ison-Britannian kontekstin tietoturvan haavoittuvuustutkimuksen johtaja James Forshaw saa ensimmäisenä lieventävän ohituksen palkkion.
SecurityWatchille osoitetussa sähköpostiviestissä Forshaw sanoi seuraavaa: "Microsoftin lieventävä ohituspalkkio on erittäin tärkeä tapa auttaa siirtämään palkkio-ohjelmien painopistettä rikoksista puolustukseen. Se kannustaa minun kaltaisia tutkijoita sitoutumaan aikaan ja vaivaan turvallisuuden syventämiseen, ei vain pyrimme kokonaisheikkouksien määrään. " Forshaw jatkoi: "Löytääksesi voitetun kilpailuni tutkin tänään saatavilla olevia lievennyksiä ja aivoriihi löysin muutaman potentiaalisen näkökulman. Kaikki eivät olleet elinkykyisiä, mutta jonkin verran kestävyyden jälkeen onnistin lopultakin."
Mitä Forshaw löysi, sitä ei paljasteta heti. Koko asia on antaa Microsoftille aika perustaa puolustuksia ennen kuin pahat pojat tekevät saman löytön!
