Видео: The Future of Tasks in Microsoft 365 (Септември 2024)
Много големи софтуерни компании ще плащат "бонус" на първия човек, който докладва за определена дупка в сигурността. Сумите на Bounty варират, но те могат да варират от всяка точка на потупване по гърба до хиляди долари. Майкрософтът за смекчаване на байпаса на Microsoft работи на значително по-високо ниво. За да поискате наградата от 100 000 долара, едно проучване трябва да представи чисто нова техника на експлоатация, която е ефективна срещу най-новата версия на Windows. Този вид откритие е доста рядко и въпреки това, само три месеца след обявяването на тази програма, Microsoft днес направи първата си награда от 100 000 долара.
История на сътрудничеството
Говорих с Кейти Мусурис, старши ръководител на стратегията за сигурност на Microsoft Trustworthy Computing group, за тази награда и за историята на Microsoft в работата с изследователи и хакери. Moussouris се присъедини преди около шест години и половина като стратег по сигурността, но „имаше дълга история на Microsoft да се занимава с изследователи и хакери, дори преди моето време“.
Мусурис даде за пример изследователите, които откриха уязвимостта, която захранва червея Blaster. „Висшите служители на Microsoft ги посетиха в Полша“, каза тя. "Бяха наети… Те все още работят с нас през последното десетилетие."
Тя отбеляза, че редовните конференции на BlueHat на Microsoft „носят хакери на Microsoft, за да се срещнат с нашите хора, да обучат и забавляват и да направят нашите продукти по-сигурни“. През 2012 г. конкурсът за награда BlueHat на Microsoft присъди над 250 000 долара на трима академични изследователи, които излязоха с никога не виждани иновации.
Текущи Bounties
„Преди три месеца стартирахме три нови щедрости - каза Мусурис, „ две от които все още са активни “. През първите 30 дни от визуализацията на Internet Explorer 11, Microsoft предлага обикновени бъгове от бъгове. „Много изследователи се задържаха, като не съобщаваха за бъгове, чакащи окончателно издаване“, отбеляза Мусурис. „Решихме да ги насърчим да представят тези доклади.“ В края на 30-дневния цикъл на тази програма, шестима изследователи са заявили, че натрупват бъгове на стойност над 28 000 долара.
Mitegation Bypass Bounty специално награждава изследователите, които откриват изцяло нов метод на експлоатация. „Ако вече не знаехме за ориентирано към възвръщаемостта програмиране - каза Мусурис, - това откритие щеше да спечели 100 000 долара“. Това не е просто изследване на пай в небето. Изследовател, който иска да претендира за тази награда, трябва да предостави работеща програма за доказване на концепцията, която демонстрира техниката на експлоатация.
"Имаше само три начина, по които една организация можеше да научи за тези атаки в миналото", отбеляза Мусурис. "Първо, нашите вътрешни изследователи ще измислят нещо. Второ, той ще се появи в конкурс за експлоатация като Pwn2Own. Трето, и най-лошото, ще излезе на повърхността при активна атака." Тя обясни, че настоящата програма за награди се предлага целогодишно, а не само на състезание. "Ако сте изследовател, който иска да играе хубаво, който иска да защити хората, сега има богатство. Няма нужда да чакате."
И победителят е...
Moussouris изчислява, че откритията са достатъчно големи, за да заслужават награда само на всеки три години. Екипът й беше изненадан и доволен, че намери достоен получател само три месеца след началото на програмата за награди. Джеймс Форшау, ръководител на изследване на уязвимостта за базирана в Обединеното кралство информационна сигурност на контекста, става първият, който получава смекчаващия байпас.
В имейл до SecurityWatch, Forshaw каза това: „Майкрософтът за байпас за смекчаване е много важен за подпомагане на преместването на фокуса на програмите за баунти от обида към защита. Той стимулира изследователи като мен да отделят време и усилия за сигурност в дълбочина, а не просто стремеж към общия брой на уязвимостите. " Форшоу продължи: "За да намеря своя печеливш запис, проучих наличните днес смекчаващи въздействия и след мозъчна атака открих няколко потенциални ъгли. Не всички бяха жизнеспособни, но след известно упоритост най-накрая постигнах успех."
Що се отнася до точно онова, което Форшау откри, това няма да бъде разкрито веднага. Целият смисъл е да се даде време на Microsoft да настрои защитата преди лошите да направят същото откритие, в края на краищата!
