Video: FF_605_Rus - Microsoft Bug Bounty (Nobyembre 2024)
Sabihin mong ikaw ay isang publisher ng software na may isang global presence. Ang isang butas ng seguridad sa isa sa iyong mga produkto na nagpapahintulot sa mga masasamang tao na magnakaw ng pribadong impormasyon o malayong makontrol ang isang biktima ng PC ay maaaring magkaroon ng malalayong mga kahihinatnan. Kung ang isang tao ay natuklasan ang tulad ng isang butas, mas gusto mong sabihin nila sa iyo ang tungkol dito kaysa ibenta ang impormasyon sa cybercrime black market, di ba? Nilalayon ng mga programang "Bug na may halaga" na hikayatin ang ganitong uri ng pagbabahagi sa pamamagitan ng paggantimpala sa mga tumuklas ng mga butas ng seguridad na may cash, katanyagan, o pareho, at mas karaniwan sila kaysa sa maaari mong mapagtanto.
Maraming Bounties
Ang bounty program ng Yahoo ay gumawa ng balita nang mas maaga sa linggong ito. Ang isang pangkat ng mga mananaliksik ng Swiss na nagsisiyasat sa programa ay nagsimula sa pamamagitan ng pangangaso ng tatlong malubhang cross-site na mga script ng script sa mga website ng Yahoo, mga butas ng seguridad na maaaring payagan ang isang umaatake na kumuha ng account sa email sa isang biktima. (Ang paghahanap ng mga bug na iyon ay tumagal ng halos isang araw - nakakatakot!). Matapos mapatunayan ang ulat, nag-aalok ang Yahoo ng $ 12.50 para sa bawat bug, maaaring matubos para sa swag sa tindahan ng kumpanya.
Ang gantimpalang iyon ay tila matindi sa marami. Ang backlash mula sa ulat na ito ay sapat na makabuluhan na ang Yahoo ay inihayag ang isang pagbabago, isang bagay na sila ay nagtatrabaho na. Ang bagong programa ng malaking halaga ng bug ay gagantimpalaan ang mga mananaliksik na nag-uulat ng isang na-verify na bug na may cash, hindi swag, sa isang halaga mula $ 150 hanggang $ 15, 000, na may eksaktong halaga na tinukoy ng isang malinaw, paunang natukoy na pormula. Ang bagong programa ay dapat na nasa lugar sa pagtatapos ng buwang ito, ngunit ito ay retroactive hanggang Hulyo 1.
Sa tingin mo ay nakahanap ka ng isang butas ng seguridad na maaaring nagkakahalaga ng isang bagay? Inililista ng website ng bugcrowd ang lahat ng mga kasalukuyang programa ng bounty ng bug, na naghihiwalay sa mga ito na nag-aalok ng isang gantimpala, katanyagan kasama ang swag, katanyagan, o walang gantimpala. Mag-click sa link para sa isang naibigay na produkto o serbisyo upang bisitahin ang pahina ng pag-uulat nito.
Halimbawa, ang Facebook, ay nag-aalok ng isang minimum na halaga ng $ 500, na walang preset na maximum. Noong Agosto, ang Facebook ay nagbabayad ng higit sa isang milyong dolyar sa naturang mga halaga ..
Ang mga payout mula sa Google para sa na-verify na mga bug ay sumusunod sa isang mahusay na tinukoy na talahanayan ng mga halaga. Ang mga saklaw na ito mula sa $ 100 para sa isang pangkaraniwang pagkakamali sa Web sa isang mababang priyoridad sa site ng Google sa $ 20, 000 para sa isang kahinaan sa pagpapatupad ng remote code sa isang sobrang sensitibong serbisyo. Sa isang tumango upang "mag-leet-speak, " ang ilang mga uri ay may gantimpalang $ 1337.
Iba ang Microsoft
Nag-aalok ang Microsoft ng mga mananaliksik ng $ 100, 000, o higit pa, para sa trabaho na nagpapaganda ng seguridad, ngunit lumiliko ito sa programa ng Microsoft ay hindi tiyak na isang malaking halaga ng bug. Ipinaliwanag ni Katie Moussouris, ang senior security strategist na nangunguna para sa Microsoft mapagkakatiwalaang Computing, ang pagkakaiba.
"Ang $ 100, 000 na Mitigation Bypass Bounty ng Microsoft ay nangangailangan ng mga kalahok na magsumite ng tunay na mga diskarte sa pagsasamantala ng nobela laban sa aming pinakabagong platform ng Windows, " sabi ni Moussouris, "upang maaari nating mapabuti ang aming mga panlaban na platform. Ang mga bagong diskarte sa pagsasamantala ay mas mahirap makahanap kaysa sa mga kahinaan ng indibidwal at pag-aaral tungkol sa makakatulong sila sa amin na maprotektahan ang mga customer laban sa buong klase ng pag-atake upang mapabuti ang seguridad sa pamamagitan ng mga leaps, sa halip na tugunan ang isang kahinaan sa isang pagkakataon. " Nagtapos siya, "Hinihikayat namin ang mga mananaliksik na basahin ang mga alituntunin ng aming mga programang may halaga sa www.microsoft.com/bountyprograms at ipadala sa kanilang mga pagsusumite upang ma-secure [email protected]."
Ang isang mananaliksik na hindi lamang nag-uulat ng isang bagong pamamaraan sa pagsasamantala ngunit nagbibigay din ng mga ideya para sa pagtatanggol ay maaaring kwalipikado para sa karagdagang $ 50, 000 BlueHat Bonus. At tandaan, noong 2012 nagbabayad ang Microsoft ng higit sa isang-kapat ng isang milyon sa mga nagwagi sa paligsahan ng BlueHat Prize.
Kailangan ng maraming karanasan at isang manika ng henyo upang maging kwalipikado para sa gantimpala ng Microsoft. Ang seguridad ay madalas na isang laro ng cat-and-mouse, ang mga ascriminals ay naglilikha ng mga bagong pag-atake at ang mga tagapagtanggol ay tumugon sa mga bagong counter sa mga pag-atake na iyon. Ang pagkakaroon ng mga bagong diskarte sa pagsasamantala (at mga panlaban laban sa kanila) bago ang mga masasamang tao ay naglalagay ng depensa. Bilang isang gumagamit ng Windows, saludo ako sa mga tatanggap. Salamat guys!
