Videó: Видео обзор планшета Asus VivoTab RT (TF600T) (November 2024)
Számos nagyobb szoftvergyártó cég fizet egy „hibahibát” az első személynek, aki egy adott biztonsági lyukról számol be. A hatalmas összegek változnak, de a hátsó pat-tól egészen a dollár ezerig terjedhetnek. A Microsoft enyhítő Bypass Bounty egyértelműen magasabb szinten működik. A 100 000 dolláros jutalom igényléséhez egy kutatásnak vadonatúj hasznosítási technikát kell bemutatnia, amely hatékony a Windows legújabb verziójával szemben. Ez a fajta felfedezés nagyon ritka, és mégis, csupán három hónappal a program bejelentése után, a Microsoft ma kihozta első 100 000 dolláros díját.
Az együttműködés története
Beszéltem Katie Moussourissal, a Microsoft Trustworthy Computing csoport vezető biztonsági stratégiai vezetőjével, a díjról és a Microsoft kutatókkal és hackerekkel folytatott együttműködésének történetéről. A Moussouris körülbelül hat és fél évvel ezelőtt csatlakozott biztonsági stratégának, de "hosszú volt a története annak, hogy a Microsoft kapcsolatba lépte a kutatókkal és a hackerekkel, még az én időm előtt".
A Moussouris példát adott azoknak a kutatóknak, akik felfedezték a Blaster féreg által táplált biztonsági rést. "A Microsoft magas rangú tisztviselői meglátogatták őket Lengyelországban" - mondta. "Felvették őket… Még mindig dolgoznak velünk az elmúlt évtizedben."
Megjegyezte, hogy a Microsoft rendszeres BlueHat-konferenciái "hackereket hoznak a Microsoftba, hogy megismerjék embereinket, oktatja és szórakoztatja, valamint termékeinket biztonságosabbá tegye". 2012-ben a Microsoft BlueHat-díjversenye több mint 250 000 dollárt ítél oda három olyan tudományos kutatónak, akik soha nem látott újításokkal álltak elő.
Jelenlegi összegek
"Három hónappal ezelőtt három új pénzt indítottunk" - mondta Moussouris -, amelyek közül kettő még mindig aktív. Az Internet Explorer 11 előzetes verziójának első 30 napjában a Microsoft szokásos hibajavító programokat ajánlott fel. "Sok kutató tartózkodott, nem jelentett be hibákat, és végleges kiadásra várt" - jegyezte meg Moussouris. "Úgy döntöttünk, hogy ösztönözzük őket a jelentések benyújtására." A program 30 napos futamának végén hat kutató állította be a hibákat, összesen több mint 28 000 dollárt.
Az enyhítő Bypass Bounty kifejezetten azokat a kutatókat jutalmazza, akik egy teljesen új kiaknázási módszert fedeztek fel. "Ha még nem tudnánk a visszatérés-orientált programozást, " mondta Moussouris, "ez a felfedezés 100 000 dollárt keresett volna." Ez nem csak az égbolton végzett kutatás. Egy kutatónak, aki ezt az óvadékot kívánja igénybe venni, működőképes programot kell készítenie, amely bemutatja a kizsákmányolás technikáját.
"A szervezeteknek csak három módja volt a múltban megismerni ezeket a támadásokat" - jegyezte meg Moussouris. "Először is, belső kutatóink valamivel fel fognak találkozni. Másodszor, egy olyan kizsákmányolási versenyen jelenik meg, mint a Pwn2Own. Harmadik, és ami a legrosszabb, egy aktív támadás felbukkan. Elmondta, hogy a jelenlegi fejbánó program egész évben elérhető, nem csak versenyen. "Ha olyan kutató vagy, aki kedves játékot akar, és aki meg akarja óvni az embereket, akkor elérhető egy fejbőr. Nem kell megvárnia."
És a győztes...
A Moussouris becslése szerint csak olyan nagyszámú felfedezés történik, amely hatalomra érdemes, legalább háromévente. Csapatát meglepte és örömmel látta, hogy csak három hónappal a fejbõl származó program elindulása után talál méltó címzettet. James Forshaw, az Egyesült Királyságban működő környezeti információbiztonság biztonsági résének kutatási vezetője lesz az első, aki megkapja az enyhítő mellékhatást.
A SecurityWatchnek küldött e-mailben Forshaw ezt mondta: "A Microsoft enyhítő bypass Bounty nagyon fontos szerepet játszik abban, hogy a bűncselekmények programjai középpontjában a bűncselekménytől a védelemig terjedjenek. Ez arra ösztönzi a hasonló kutatókat, hogy időt és erőfeszítést fordítsanak a biztonság mélységére, nem pedig csupán törekszünk a teljes sebezhetőség számára. " Forshaw folytatta: "A nyertes bejegyzés megtalálásához megvizsgáltam a jelenleg elérhető enyhüléseket, és az ötletbörze után néhány lehetséges szöget azonosítottam. Nem mindegyik volt életképes, de némi kitartás után végre sikeres voltam."
Ami azt illeti, amit Forshaw fedez fel, az nem azonnal derül ki. A lényeg az, hogy adjon időt a Microsoftnak védekezés létrehozására, még mielőtt a rossz fiúk ugyanazt a felfedezést végzik!
