Видео: unboxing turtles slime surprise toys learn colors (Октября 2024)
Многие крупные софтверные компании будут выплачивать «вознаграждение за ошибки» первому человеку, сообщившему о конкретной дыре в безопасности. Размеры вознаграждения варьируются, но они могут варьироваться в любом месте - от похлопывания до тысяч долларов. Mountigation Bypass Bounty от Microsoft работает на значительно более высоком уровне. Чтобы получить награду в размере 100 000 долларов, исследование должно представить совершенно новый метод эксплуатации, который эффективен против самой последней версии Windows. Подобные открытия довольно редки, и все же, спустя всего три месяца после анонса этой программы, Microsoft сегодня получила свою первую награду в размере 100 000 долларов.
История сотрудничества
Я говорил с Кэти Муссурис, старшим руководителем по стратегии безопасности в группе Microsoft Trustworthy Computing, об этой награде и об истории работы Microsoft с исследователями и хакерами. Муссурис присоединился около шести с половиной лет назад в качестве стратега по безопасности, но «у меня была давняя история взаимодействия Microsoft с исследователями и хакерами, даже до моего времени».
Муссурис привел в качестве примера исследователей, которые обнаружили уязвимость, которая привела в действие червя Blaster. «Высокопоставленные чиновники Microsoft посетили их в Польше», - сказала она. «Они были завербованы… Они все еще работают с нами в течение последнего десятилетия».
Она отметила, что регулярные конференции Microsoft по BlueHat «приносят хакерам в Microsoft возможность встречаться с нашими людьми, обучать и развлекать, а также повышать безопасность наших продуктов». В 2012 году на конкурсе Microsoft BlueHat Prize было вручено более 250 000 долларов трем ученым-исследователям, которые придумали еще невиданные инновации.
Текущие награды
«Три месяца назад мы запустили три новых награды, - сказал Муссурис, - две из которых все еще активны». В течение первых 30 дней предварительного просмотра Internet Explorer 11 корпорация Майкрософт предлагала обычные ошибки. «Многие исследователи держались, не сообщая об ошибках, ожидая окончательного выпуска», - отметил Муссурис. «Мы решили призвать их представить эти отчеты». В конце 30-дневного прогона этой программы шесть исследователей заявили о выплате премий за ошибки на общую сумму более 28 000 долларов.
Mountigation Bypass Bounty специально вознаграждает исследователей, которые открывают совершенно новый метод эксплуатации. «Если бы мы еще не знали о программировании, ориентированном на возврат, - сказал Муссурис, - это открытие принесло бы 100 000 долларов». Это не просто исследование «пирог в небе». Исследователь, который хочет получить эту награду, должен предоставить рабочую программу проверки концепции, которая демонстрирует технику эксплуатации.
«В прошлом у организации было только три способа узнать об этих атаках», - отметил Муссурис. «Во-первых, наши внутренние исследователи что-то придумали. Во-вторых, это появилось бы в конкурсе на эксплуатацию, подобном Pwn2Own. В-третьих, и хуже всего, это всплыло бы в активной атаке». Она объяснила, что нынешняя программа вознаграждений доступна круглый год, а не только на соревнованиях. «Если вы исследователь, который хочет хорошо играть, который хочет защитить людей, то теперь вы можете получить награду. Вам не нужно ждать».
И победитель...
Муссурис считает, что открытия, достаточно большие, чтобы заслужить награду, происходят только каждые три года или около того. Ее команда была удивлена и рада найти достойного получателя всего через три месяца после начала программы вознаграждений. Джеймс Форшоу (James Forshaw), глава отдела исследований уязвимостей в британской контекстной информационной безопасности, первым получает награду за обходной путь.
В электронном письме к SecurityWatch Форшоу сказал следующее: «Обход защиты Mitigation Bounty от Microsoft очень важен для того, чтобы помочь сместить акцент программ на защиту от нападений на защиту. Он побуждает таких исследователей, как я, уделять больше времени и усилий глубокой безопасности, а не просто стремление к общему количеству уязвимостей. " Форшоу продолжил: «Чтобы найти свою выигрышную запись, я изучил доступные сегодня способы смягчения, и после мозгового штурма я определил несколько потенциальных углов. Не все были жизнеспособными, но после некоторой настойчивости я наконец-то добился успеха».
Что касается именно того, что обнаружил Форшоу, это не будет открыто сразу. Все дело в том, чтобы дать Microsoft время на создание защиты, прежде чем плохие парни сделают то же самое открытие, в конце концов!
