Casa Vigilant de seguretat No hi ha simple recompte d’errors: el microsoft recompensa noves tècniques d’explotació

No hi ha simple recompte d’errors: el microsoft recompensa noves tècniques d’explotació

Vídeo: MICROSOFT REWARDS : UN SUPER SYSTÈME DE RÉCOMPENSES ! (De novembre 2024)

Vídeo: MICROSOFT REWARDS : UN SUPER SYSTÈME DE RÉCOMPENSES ! (De novembre 2024)
Anonim

Digueu que sou un editor de programari amb presència global. Un forat de seguretat d’un dels vostres productes que permet que els dolents robin informació privada o controlin de forma remota un PC de la víctima podria tenir conseqüències àmplies. Si algú descobrís aquest forat, preferiria que li expliqués el tema que no pas vendre informació sobre el mercat negre de ciberdelinqüència, oi? Els programes "Bug Bounty" tenen com a objectiu fomentar aquest tipus de compartir recompensant aquells que descobreixen forats de seguretat amb diners en efectiu, fama o ambdues coses, i són més habituals del que pugueu adonar.

Bounties abunden

El programa de recompenses d'errors de Yahoo va fer notícies a principis d'aquesta setmana. Un grup d’investigadors suïssos que investigaven el programa iniciat per la caça de tres errors greus d’escriptura de llocs web als llocs web de Yahoo, forats de seguretat que podrien permetre a un atacant fer-se càrrec del compte de correu electrònic de la víctima de Yahoo. (Trobar aquests errors va tenir un dia, de por!). Després de verificar l'informe, Yahoo va oferir 12, 50 dòlars per cada error, que es podia bescanviar per a swag a la botiga de l'empresa.

Per a molts, aquesta recompensa semblava estupenda. La reacció d'aquest informe va ser prou significativa com que Yahoo va anunciar un canvi, cosa que ja estaven treballant. El nou programa de recompenses d’errors recompensarà els investigadors que reportin un error verificat amb efectiu, no swag, en un import de 150 a 15.000 dòlars, amb l’import exacte determinat per una fórmula clara i predefinida. El nou programa hauria d'estar en funcionament a finals d'aquest mes, però es retroactiva fins a l'1 de juliol.

Penseu que heu trobat un forat de seguretat que pugui valer alguna cosa? El lloc web de bugcrowd enumera tots els programes actuals de recompensa d’errors, separant-los dels que ofereixen recompensa, fama més swag, només fama o cap recompensa. Feu clic a l’enllaç d’un producte o servei determinat per visitar la seva pàgina d’informació.

Per exemple, Facebook ofereix, per exemple, un recompte mínim de 500 dòlars, sense un màxim predefinit. A l'agost, Facebook havia pagat més d'un milió de dòlars en aquest tipus de recompenses.

Els pagaments de Google per a errades verificades segueixen una taula de valors ben definida. Aquests van des de 100 dòlars per un defecte web comú en un lloc de Google de baixa prioritat fins a 20.000 dòlars per una vulnerabilitat d’execució de codi remota en un servei altament sensible. Amb el cap de la paraula per dir-ho, alguns tipus ofereixen una recompensa de 1337 dòlars.

Microsoft és diferent

Microsoft ofereix als investigadors 100.000 dòlars, o fins i tot més, per una feina que millori la seguretat, però resulta que el programa Microsoft no és precisament una recompensa d’errors. Katie Moussouris, directora de estratega de seguretat principal de Microsoft Trustworthy Computing, va explicar la diferència.

"La recompensa de migració de 100.000 dòlars de Microsoft de mitigació requereix que els participants envien tècniques d’explotació veritablement noves contra la nostra darrera plataforma Windows", va dir Moussouris, "per tal de millorar les nostres defenses a tota la plataforma. Les tècniques d’explotació noves són més difícils de trobar que les vulnerabilitats individuals i aprendre sobre ens ajudaran a protegir els clients contra classes senceres d’atacs per millorar la seguretat a pas de pas, en lloc d’abordar una vulnerabilitat alhora. " Va concloure: "Animem als investigadors a llegir les directrius dels nostres programes de recompensa a www.microsoft.com/bountyprograms i enviar les seves comunicacions a [email protected]".

Un investigador que no només informa d’una nova tècnica d’explotació, sinó que també proporciona idees per a la defensa, pot obtenir un Bons BlueHat de 50.000 dòlars addicionals. I recordeu, el 2012 Microsoft va pagar més d’un quart de milió als guanyadors del concurs BlueHat Prize.

Es necessita molta experiència i un dollop de geni per obtenir la recompensa de Microsoft. La seguretat sol ser un joc de gats i ratolins, els ascriminals ideen nous atacs i els defensors responen amb nous comptadors a aquests atacs. Davant les noves tècniques d’explotació (i les defenses contra ells) abans que els dolents, els defenses es posin al capdavant. Com a usuari de Windows, saludo els destinataris. Gràcies nois!

No hi ha simple recompte d’errors: el microsoft recompensa noves tècniques d’explotació