Никакой простой награды за ошибки: Microsoft поощряет новые методы эксплуатации

Скажем, вы издатель программного обеспечения с глобальным присутствием. Брешь в безопасности одного из ваших продуктов, которая позволяет злоумышленникам красть личную информацию или удаленно контролировать компьютер-жертву, может иметь далеко идущие последствия. Если кто-то обнаружил такую ​​дыру, вы бы предпочли, чтобы они рассказали вам об этом, чем продавали информацию на черном рынке киберпреступности, верно? Программы «Bug bounty» нацелены на поощрение такого рода обмена, вознаграждая тех, кто обнаруживает дыры в безопасности, наличными, известностью или обоими, и они встречаются чаще, чем вы можете себе представить.

Изобилие щедрот

Программа баунти от Yahoo объявила о новостях ранее на этой неделе. Группа швейцарских исследователей, расследовавших программу, начала с поиска трех серьезных ошибок межсайтового скриптинга на сайтах Yahoo, пробелов в безопасности, которые могли позволить злоумышленнику захватить почтовый аккаунт Yahoo жертвы. (Нахождение этих ошибок заняло у них около суток - страшно!). После проверки отчета Yahoo предложила $ 12, 50 за каждую ошибку, которую можно было обменять на сваб в корпоративном магазине.

Эта награда многим показалась легкой. Обратная реакция этого отчета была достаточно значительной, и Yahoo объявила об изменении, над которым они уже работали. Новая программа вознаграждения за ошибки вознаградит исследователей, которые сообщат о подтвержденной ошибке наличными, а не о размене, в размере от 150 до 15 000 долларов, причем точная сумма будет определена по четкой, заранее определенной формуле. Новая программа должна быть готова к концу этого месяца, но она имеет обратную силу до 1 июля.

Думаешь, ты нашел дыру в безопасности, которая может чего-то стоить? На веб-сайте bugcrowd перечислены все текущие программы баунти-багов, разделив их на те, которые предлагают вознаграждение, славу плюс добычу, только славу или отсутствие вознаграждения. Нажмите на ссылку для данного продукта или услуги, чтобы перейти на страницу отчетов.

Например, Facebook предлагает минимальную награду в 500 долларов без предустановленного максимума. По состоянию на август Facebook выплатил более миллиона долларов в таких наградах.

Выплаты от Google за подтвержденные ошибки следуют четко определенной таблице значений. Они варьируются от 100 долларов за общий веб-недостаток на сайте Google с низким приоритетом до 20 000 долларов за уязвимость удаленного выполнения кода в высокочувствительном сервисе. В знак «говорить по-лютни» некоторые типы получают награду в 1337 долларов.

Microsoft отличается

Microsoft предлагает исследователям 100 000 долларов или даже больше за работу, которая повышает безопасность, но оказывается, что программа Microsoft - не просто награда за ошибки. Кэти Муссурис, ведущий специалист по безопасности в Microsoft Trustworthy Computing, объяснила разницу.

«Microsoft за 100 000 долл. США для обхода средств смягчения последствий требует, чтобы участники представили действительно новые методы эксплуатации на нашей новейшей платформе Windows, - сказал Муссурис, - чтобы мы могли улучшить нашу защиту всей платформы. Новые методы эксплуатации сложнее найти, чем отдельные уязвимости и узнать о них». они помогут нам защитить клиентов от целых классов атак для повышения безопасности скачкообразно, а не устранять одну уязвимость за раз ». В заключение она сказала: «Мы призываем исследователей прочитать рекомендации наших программ по вознаграждениям по адресу www.microsoft.com/bountyprograms и прислать свои материалы по адресу [email protected]».

Исследователь, который не только сообщает о новой технике эксплуатации, но и предлагает идеи для защиты, может претендовать на дополнительный бонус BlueHat в размере 50 000 долларов. И помните, в 2012 году Microsoft выплатила более четверти миллиона победителям конкурса BlueHat Prize.

Чтобы получить награду Microsoft, требуется большой опыт и порция гениальности. Безопасность часто является игрой в кошки-мышки, злоумышленники разрабатывают новые атаки, а защитники отвечают новыми атаками на эти атаки. Придумывание новых методов эксплуатации (и защиты от них) до того, как плохие парни сделают это, возглавит защиту. Как пользователь Windows, я приветствую получателей. Спасибо, парни!