Video: Ekoparty Bug Bounty Space Keynote: A Look at My Journey (Marraskuu 2024)
Oletetaan, että olet ohjelmistojen kustantaja, jolla on globaali läsnäolo. Yhden tuotteesi tietoturvaaukolla, jonka avulla pahat pojat voivat varastaa yksityisiä tietoja tai hallita uhrien tietokoneita etäyhteydellä, voi olla kauaskantoisia seurauksia. Jos joku löysi tällaisen aukon, haluaisit paljon, että he kertovat siitä sinulle kuin myyvät tietoja verkkorikollisuuden mustilla markkinoilla, eikö niin? "Bug bounty" -ohjelmien tarkoituksena on rohkaista tällaista jakamista palkitsemalla turvallisuusaukkoja löytäviä käteisellä, maineella tai molemmilla. He ovat yleisempiä kuin saatat huomata.
Bounties on runsaasti
Yahoo's bug bounty -ohjelma teki uutisia aiemmin tällä viikolla. Ryhmä sveitsiläisiä tutkijoita, jotka tutkivat ohjelmaa, aloitti etsimällä kolme vakavaa sivustojen välistä komentosarjovirhettä Yahoo-verkkosivustoilla, tietoturva-aukkoja, joiden avulla hyökkääjä voi ottaa haltuunsa uhrin Yahoo-sähköpostitilin. (Niiden vikojen löytäminen kesti heitä noin päivän - pelottava!). Tarkastettuaan raportin, Yahoo tarjosi 12, 50 dollaria jokaisesta virheestä, joka voidaan lunastaa swagilla yrityskaupassa.
Tämä palkkio näytti monille houkuttelevaa. Tämän raportin vastavirta oli tarpeeksi merkittävä, että Yahoo ilmoitti muutoksesta, johon he jo työskentelivät. Uusi bug bounty -ohjelma palkitsee tutkijat, jotka ilmoittavat varmennetusta virheestä käteisellä, ei vaihtomäärällä, määrällä 150–15 000 dollaria tarkalla määrällä, joka määritetään selkeällä, ennalta määritellyllä kaavalla. Uuden ohjelman pitäisi olla valmis tämän kuun loppuun mennessä, mutta se on taannehtiva 1. heinäkuuta.
Luuletko löytäneesi tietoturvareiän, joka saattaa olla jonkin verran arvoinen? Bugcrowd-verkkosivustossa luetellaan kaikki nykyiset vikapalkkio-ohjelmat jaotella ne ohjelmiin, jotka tarjoavat palkinnon, maineen lisäyksen, vain maineen tai eivät palkkioita. Napsauta tietyn tuotteen tai palvelun linkkiä käydäksesi sen raporttisivulla.
Esimerkiksi Facebook tarjoaa vähintään 500 dollarin palkkion, ilman ennalta asetettua maksimiarvoa. Elokuusta alkaen Facebook oli maksanut yli miljoona dollaria tällaisina erinä.
Googlen suorittamat varmennettujen virheiden maksut seuraavat hyvin määriteltyä taulukkoa. Ne vaihtelevat 100 dollarista tavalliselta Web-virheeltä matalan prioriteetin Google-sivustolla 20 000 dollariin etäkoodin suorittamisen haavoittuvuudesta erittäin arkaluontoisessa palvelussa. Joukkue "leet-speak" -tyyliin jotkut tyypit saavat 1337 dollarin palkinnon.
Microsoft on erilainen
Microsoft tarjoaa tutkijoille 100 000 dollaria tai jopa enemmän turvallisuutta lisäävään työhön, mutta osoittautuu, että Microsoft-ohjelma ei ole tarkalleen virhe. Katie Moussouris, Microsoftin luotettavan tietotekniikan johtava johtaja, selitti eron.
"Microsoftin 100 000 dollarin lieventävä ohitusosuus edellyttää, että osallistujat toimittavat todella uusia hyödyntämistekniikoita viimeisintä Windows-alustaamme vastaan", sanoi Moussouris, "jotta voimme parantaa koko alustan laajuista puolustusta. Uusia hyväksikäyttötekniikoita on vaikeampi löytää kuin yksittäisiä haavoittuvuuksia ja niistä oppimista. ne auttavat meitä suojelemaan asiakkaita kokonaisilta hyökkäysluokilta turvallisuuden parantamiseksi harppauksin sen sijaan, että käsiteltäisiin yhtä haavoittuvuutta kerrallaan. " Hän päätteli: "Kannustamme tutkijoita lukemaan palkkio-ohjelmiemme ohjeet osoitteessa www.microsoft.com/bountyprograms ja lähettämään huomautuksensa osoitteeseen [email protected]."
Tutkija, joka raportoi uuden hyödyntämistekniikan lisäksi myös ideoita puolustukseksi, voi saada 50 000 dollarin lisäbonuksen. Ja muistakaa, että Microsoft maksoi vuonna 2012 yli neljänneksen miljoonan summan BlueHat-palkintokilpailunsa voittajille.
Microsoftin palkinnon saaminen vie paljon kokemusta ja nerokkuuden. Turvallisuus on usein kissan ja hiiren peli, rikolliset suunnittelevat uusia hyökkäyksiä ja puolustajat vastaavat uusilla laskurilla. Uusien hyväksikäyttötekniikoiden (ja puolustusta heitä vastaan) keksiminen ennen pahojen poikien asettamista puolustaa johtoasemassa. Windows-käyttäjänä tervehdin vastaanottajia. Kiitos kaverit!