У дома Securitywatch Не проста печалба за бъгове: microsoft възнаграждава нови техники за експлоатация

Не проста печалба за бъгове: microsoft възнаграждава нови техники за експлоатация

Видео: Install Khmer Unicode on MacBook (works with Word) (Ноември 2024)

Видео: Install Khmer Unicode on MacBook (works with Word) (Ноември 2024)
Anonim

Кажете, че сте издател на софтуер с глобално присъствие. Дупка в сигурността на един от вашите продукти, която позволява на лошите момчета да откраднат частна информация или да контролират дистанционно компютър с жертва, може да има далечни последствия. Ако някой открие такава дупка, ще предпочетете да ви каже за нея, отколкото да продаде информацията на черния пазар за киберпрестъпления, нали? Програмите „Bug buounty” имат за цел да насърчат този вид споделяне, като възнаграждават откриващите дупки в сигурността с пари, слава или и двете, и те са по-често срещани, отколкото може да осъзнаете.

Bounties изобилстват

Програмата на Yahoo buounty направи новини по-рано тази седмица. Група швейцарски изследователи, проучващи програмата, започнаха с издирването на три сериозни скриптове за скриптове на уебсайтове в уебсайтове на Yahoo, дупки в сигурността, които биха могли да позволят на нападател да поеме имейл акаунта на жертвата в Yahoo. (Намирането на тези бъгове им отне около ден - страшно!). След като провери доклада, Yahoo предложи 12, 50 долара за всеки бъг, който може да бъде използван за swag във фирмения магазин.

Тази награда изглеждаше неясна за мнозина. Реакцията от този доклад беше достатъчно значителна, че Yahoo обяви промяна, нещо, по което вече работят. Новата програма за награди с бъгове ще възнагради изследователите, които отчитат проверена грешка с пари, а не суанг, в размер от 150 до 15 000 долара, с точната сума, определена по ясна, предварително определена формула. Новата програма трябва да бъде въведена до края на този месец, но тя е със задна дата към 1 юли.

Мислите, че сте намерили дупка в сигурността, която може да струва нещо? Уебсайтът на bugcrowd изброява всички текущи програми за награди за бъгове, като ги разделя на тези, които предлагат награда, слава плюс размяна, просто слава или никаква награда. Кликнете върху връзката за даден продукт или услуга, за да посетите страницата му за отчитане.

Facebook например предлага минимална сума от 500 долара, без предварително зададен максимум. Към август Facebook беше платил над милион долара в такива щедрости..

Изплащанията от Google за потвърдени грешки следват добре дефинирана таблица със стойности. Те варират от 100 долара за обикновен недостатък на уеб сайт с нисък приоритет на Google до 20 000 долара за уязвимост при изпълнение на отдалечен код при високо чувствителна услуга. В кимване да "говорим" някои видове идват с награда от $ 1337.

Microsoft е различен

Microsoft предлага на изследователите 100 000 долара или дори повече за работа, която повишава сигурността, но се оказва, че програмата на Microsoft не е точно бонус. Кейти Мусурис, старши водещ стратег за сигурност в Microsoft Trustworthy Computing, обясни разликата.

„Майкрософтът за облекчаване на байпаса на 100 000 долара от Microsoft изисква участниците да представят наистина нови техники за експлоатация срещу най-новата ни платформа на Windows“, каза Мусурис, „за да можем да подобрим защитните си възможности за цялата платформа. Новите техники за експлоатация са по-трудни за намиране от отделните уязвимости и научаването на те ще ни помогнат да защитим клиентите срещу цели класове атаки, за да подобрим сигурността чрез скокове, вместо да адресираме една уязвимост наведнъж. " Тя заключава: "Насърчаваме изследователите да прочетат насоките на нашите програми за награди на www.microsoft.com/bountyprograms и да изпратят своите предложения на [email protected]."

Изследовател, който не само съобщава за нова техника на експлоатация, но и предоставя идеи за отбрана, може да се класира за допълнителен BlueHat бонус в размер на 50 000 долара. И не забравяйте, че през 2012 г. Microsoft изплати над четвърт милион на победителите в своя конкурс BlueHat Prize.

Необходим е много опит и много гений, за да се класирате за наградата на Microsoft. Сигурността често е игра на котки и мишки, аскриминациите измислят нови атаки, а защитниците отговарят с нови броячи на тези атаки. Измислянето на нови техники за експлоатация (и защитата срещу тях) преди лошите да постави защитата в преднина. Като потребител на Windows поздравявам получателите. Благодаря момчета!

Не проста печалба за бъгове: microsoft възнаграждава нови техники за експлоатация