Video: TheBigBountyTube- My $15,000 Bug Bounty Microsoft Windows Insider Preview | How to Get Started (Nobyembre 2024)
Maraming mga pangunahing kumpanya ng software ang magbabayad ng isang "bug na halaga ng bug" sa unang tao na nag-uulat ng isang partikular na butas ng seguridad. Iba-iba ang mga halaga ng halaga, ngunit maaari silang saklaw kahit saan mula sa isang pat sa likod ng libu-libong dolyar. Ang Mitigation Bypass Bounty ng Microsoft ay nagpapatakbo sa isang lubos na mas mataas na antas. Upang maangkin ang $ 100, 000 na gantimpala, dapat ipakita ng isang pananaliksik ang isang bagong-bagong pamamaraan sa pagsasamantala na epektibo laban sa pinakahuling bersyon ng Windows. Ang ganitong uri ng pagtuklas ay hindi pangkaraniwan, at gayon pa man, tatlong buwan pagkatapos ianunsyo ang program na ito, ang Microsoft ngayon ay gumawa ng unang $ 100, 000 na parangal.
Isang Kasaysayan ng Pakikipagtulungan
Nakipag-usap ako kay Katie Moussouris, ang diskarte sa senior security na nangunguna para sa Microsoft Trustworthy Computing group, tungkol sa award na ito at tungkol sa kasaysayan ng Microsoft na nagtatrabaho sa mga mananaliksik at hacker. Sumali si Moussouris mga anim at kalahating taon na ang nakalilipas bilang isang istratehiya sa seguridad, ngunit "mayroong isang mahabang kasaysayan ng Microsoft na nakikipag-ugnayan sa mga mananaliksik at hacker, kahit bago ang aking oras."
Nagbigay si Moussouris bilang isang halimbawa ng mga mananaliksik na natuklasan ang kahinaan na pinalakas ang worm ng Blaster. "Binisita sila ng mga nakatatandang opisyal ng Microsoft sa Poland, " aniya. "Na-recruit sila … Nagtatrabaho pa rin kami sa nakaraang dekada."
Nabanggit niya na ang regular na kumperensya ng BlueHat ng Microsoft ay "nagdadala ng mga hacker sa Microsoft upang matugunan ang aming mga tao, upang turuan at aliwin, at gawing mas ligtas ang aming mga produkto." Noong 2012, ang Paligsahan ng BlueHat Prize ng Microsoft ay iginawad ng higit sa $ 250, 000 sa tatlong mga pang-akademikong mananaliksik na dumating sa mga hindi nakita na mga bago.
Kasalukuyang Mga Buwis
"Tatlong buwan na ang nakalilipas ay inilunsad namin ang tatlong bagong bounties, " sabi ni Moussouris, "dalawa pa ay aktibo pa rin." Sa unang 30 araw ng preview ng Internet Explorer 11, inalok ng Microsoft ang mga ordinaryong bounties ng bug. "Maraming mga mananaliksik ang humawak, hindi nag-uulat ng mga bug, naghihintay para sa huling pagpapalaya, " sabi ni Moussouris. "Napagpasyahan naming hikayatin silang isumite ang mga ulat na iyon." Sa pagtatapos ng 30-araw na pagtakbo ng program na iyon, anim na mananaliksik ang nag-angkon ng mga bug na bugso na umabot sa $ 28, 000.
Ang Mitigation Bypass Bounty ay partikular na gantimpalaan ang mga mananaliksik na tumuklas ng isang bagong pamamaraan ng pagsasamantala. "Kung hindi pa namin alam ang tungkol sa pagbabalik-oriented na programa, " sabi ni Moussouris, "ang pagtuklas na iyon ay makakakuha ng $ 100, 000." Ito ay hindi lamang pie-in-the-sky research, alinman. Ang isang mananaliksik na nais na mag-angkin ng kaalamang ito ay dapat magbigay ng isang nagtatrabaho na programang pang-konsepto na nagpapakita ng diskarte sa pagsasamantala.
"Mayroong tatlong mga paraan lamang na maaaring malaman ng isang organisasyon tungkol sa mga pag-atake na ito sa nakaraan, " ang sabi ni Moussouris. "Una, ang aming panloob na mga mananaliksik ay magkakaroon ng isang bagay. Pangalawa, lilitaw ito sa isang pagsasamantala sa pagsasamantala tulad ng Pwn2Own. Pangatlo, at ang pinakamasama, lalabas ito sa isang aktibong pag-atake." Ipinaliwanag niya na ang kasalukuyang programa ng bounty ay magagamit sa buong taon, hindi lamang sa isang kumpetisyon. "Kung ikaw ay isang mananaliksik na nais maglaro ng maganda, na nais protektahan ang mga tao, mayroong isang malaking halaga na magagamit na ngayon . Hindi mo na kailangang maghintay."
At ang Nagwagi Ay …
Tinatantya ng Moussouris na natuklasan ang sapat na malaki upang nagkakahalaga ng isang malaking halaga lamang ang nangyayari tuwing tatlong taon o higit pa. Nagulat ang kanyang koponan at nasisiyahan na makahanap ng isang karapat-dapat na tatanggap lamang ng tatlong buwan pagkatapos magsimula ang bounty program. Si James Forshaw, pinuno ng Vulnerability Research para sa UK-based na Impormasyon sa Konteksto na batay sa UK, ay naging unang tumanggap ng Mitigation Bypass Bounty.
Sa isang email sa SecurityWatch, sinabi ni Forshaw na: "Ang Mitigation Bypass Bounty ng Microsoft ay napakahalaga upang matulungan ang paglipat ng pokus ng mga programang hangal mula sa pagkakasala tungo sa depensa. Ito ay nagbibigay ng mga mananaliksik na tulad ko na gumawa ng oras at pagsisikap sa seguridad nang malalim kaysa sa makatarungan nagsusumikap para sa kabuuang bilang ng kahinaan. " Ipinagpatuloy ni Forshaw, "Upang mahanap ang aking nanalong pagpasok ay pinag-aralan ko ang mga mitigations na magagamit ngayon at pagkatapos ng brainstorming ay nakilala ko ang ilang mga potensyal na anggulo. Hindi lahat ay mabubuhay ngunit pagkatapos ng ilang pagpupunyagi ay sa wakas ay nagtagumpay ako."
Tulad ng para sa eksakto kung ano ang natuklasan ni Forshaw, hindi iyon maihayag kaagad. Ang buong punto ay upang bigyan ang oras ng Microsoft upang mag-set up ng mga panlaban bago gawin ng mga masasamang tao ang parehong pagtuklas, pagkatapos ng lahat!
