Vídeo: Microsoft pagará recompensas de hasta 15 mil dólares a quienes detecten fallos en Spartan (Setembre 2024)
Moltes grans empreses de programari pagaran una "recompensa d'errors" a la primera persona que informi d'un forat de seguretat en particular. Les quantitats de recompenses varien, però poden anar des de qualsevol aplicació a la part posterior fins a milers de dòlars. La recompensa de mitigació de bypass de Microsoft funciona a un nivell molt superior. Per obtenir la recompensa de 100.000 dòlars, la investigació ha de presentar una tècnica d’explotació totalment nova que sigui efectiva contra la versió més recent de Windows. Aquest tipus de descobriments és força infreqüent i, tot i així, només tres mesos després d’haver anunciat aquest programa, Microsoft va fer avui el primer premi de 100.000 dòlars.
Una història de la cooperació
Vaig parlar amb Katie Moussouris, líder d’estratègia de seguretat del grup de confiança de Microsoft Trustworthy, sobre aquest premi i sobre la història de Microsoft de treballar amb investigadors i hackers. Moussouris es va incorporar fa uns sis anys i mig com a estratega de seguretat, però "hi havia una llarga història de Microsoft relacionant-se amb investigadors i hackers, fins i tot abans de la meva època".
Moussouris va donar com a exemple als investigadors que van descobrir la vulnerabilitat que alimentava el cuc de Blaster. "Els alts oficials de Microsoft els van visitar a Polònia", va dir. "Van ser reclutats… Encara han treballat amb nosaltres durant la dècada passada".
Va assenyalar que les conferències habituals de BlueHat de Microsoft "porten els pirates informàtics a Microsoft per conèixer la nostra gent, educar i entretenir i fer més segurs els nostres productes". El 2012, el concurs BlueHat Award de Microsoft va atorgar més de 250.000 dòlars a tres investigadors acadèmics que van aconseguir innovacions mai vistes.
Bounties actuals
"Fa tres mesos vam llançar tres nous recompenses", va dir Moussouris, "dos dels quals continuen actius". Durant els primers 30 dies de la previsualització d'Internet Explorer 11, Microsoft va oferir recomptes d'errors ordinaris. "Molts investigadors es van detenir i no van informar d'errors, a l'espera del llançament final", va assenyalar Moussouris. "Vam decidir animar-los a enviar aquests informes". Al final del programa de 30 dies del programa, sis investigadors havien reclamat recomptes d'errors per un import superior a 28.000 dòlars.
La recompensa de mitigació recompensa específicament els investigadors que descobreixen un mètode d'explotació completament nou. "Si encara no sabíem de la programació orientada al retorn", va dir Moussouris, "el descobriment hauria guanyat 100.000 dòlars". Tampoc no és una investigació a la perfecció. Un investigador que vulgui reclamar aquest recompte ha de subministrar un programa de prova de concepte de treball que demostri la tècnica d’explotació.
"Hi havia només tres maneres en què una organització podia aprendre sobre aquests atacs", va assenyalar Moussouris. "Primer, els nostres investigadors interns tindrien alguna cosa. En segon lloc, apareixeria en un concurs d'explotació com Pwn2Own. El tercer, i el pitjor, es presentaria en un atac actiu." Va explicar que el programa de recompensa actual està disponible durant tot l'any, no només en una competició. "Si sou un investigador que vol jugar bé, que vol protegir la gent, ara hi ha una quantitat disponible. No heu d'esperar."
I el guanyador és...
Moussouris estima que els descobriments prou grans com per merèixer una recompensa només passen cada tres anys més o menys. El seu equip va quedar sorprès i satisfet de trobar un destinatari digne només tres mesos després de començar el programa de recompenses. James Forshaw, responsable d’investigació de la vulnerabilitat per a la seguretat de la informació en context basat al Regne Unit, es converteix en el primer a rebre la recompensa de mitigació.
En un missatge de correu electrònic a SecurityWatch, Forshaw va dir això: "La recompensa de mitigació de bypass de Microsoft és molt important per ajudar a traslladar el focus dels programes de recompensa del delicte a la defensa. Incentiva a investigadors com jo a dedicar temps i esforços a la seguretat en profunditat en lloc de simplement buscant el recompte de vulnerabilitat total. " Forshaw va continuar: "Per trobar la meva entrada guanyadora, vaig estudiar les mitigacions disponibles avui i després de fer una pluja d'idees vaig identificar uns quants angles potencials. No tots eren viables, però després d'alguna persistència vaig tenir èxit".
Pel que fa a exactament el que va descobrir Forshaw, no es revelarà de seguida. Tot el punt és donar temps a Microsoft per configurar defenses abans que els dolents facin el mateix descobriment, al cap i a la fi!
