Video: Как создать пользователя Windows 10 (September 2024)
Många stora mjukvaruföretag kommer att betala en "buggubb" till den första personen som rapporterar ett visst säkerhetshål. Bounty belopp varierar, men de kan variera allt från ett klapp på ryggen till tusentals dollar. Microsofts Mitigation Bypass Bounty fungerar på en tydligt högre nivå. För att kräva belöningen på $ 100 000 måste en forskning presentera en helt ny exploateringsteknik som är effektiv mot den allra senaste versionen av Windows. Den här typen av upptäckt är ganska ovanligt, och ändå, bara tre månader efter att ha meddelat detta program, gjorde Microsoft idag sin första utmärkelsen på $ 100 000.
En historia om samarbete
Jag talade med Katie Moussouris, ledande säkerhetsstrategi för Microsoft Trustworthy Computing-gruppen, om denna utmärkelsen och om Microsofts historia att arbeta med forskare och hackare. Moussouris gick med för cirka sex och ett halvt år sedan som en säkerhetsstrateg, men "det fanns en lång historia av Microsoft som engagerade sig med forskare och hackare, redan före min tid."
Moussouris gav som exempel forskarna som upptäckte sårbarheten som drev Blastermask. "Microsofts högre tjänstemän besökte dem i Polen, " sade hon. "De rekryterades… De arbetar fortfarande med oss det senaste decenniet."
Hon noterade att Microsofts vanliga BlueHat-konferenser "tar med hackare till Microsoft för att träffa våra människor, att utbilda och underhålla och göra våra produkter säkrare." 2012 delade Microsofts BlueHat-pris tävling över 250 000 dollar till tre akademiska forskare som kom med aldrig tidigare sett innovationer.
Nuvarande belöningar
"För tre månader sedan lanserade vi tre nya bounties, " sade Moussouris, "av vilka två fortfarande är aktiva." Under de första 30 dagarna av förhandsgranskningen av Internet Explorer 11 erbjöd Microsoft vanliga felavkastningar. "Många forskare höll på, rapporterade inte buggar och väntade på den slutliga utgivningen", konstaterade Moussouris. "Vi beslutade att uppmuntra dem att lämna in dessa rapporter." I slutet av programmets 30-dagars körning hade sex forskare gjort anspråk på bounties för totalt 28.000 dollar.
Mitigation Bypass Bounty belönar specifikt forskare som upptäcker en helt ny exploateringsmetod. "Om vi inte redan visste om returorienterad programmering, " sa Moussouris, "den upptäckten skulle ha tjänat 100 000 dollar." Det är inte heller bara kakor i himlen. En forskare som vill göra anspråk på denna vinst måste tillhandahålla ett fungerande proof-of-concept-program som visar exploateringstekniken.
"Det var bara tre sätt en organisation kunde lära sig om dessa attacker tidigare", konstaterade Moussouris. "Först skulle våra interna forskare komma med något. För det andra skulle det dyka upp i en exploateringstävling som Pwn2Own. För det tredje och värst skulle det dyka upp i en aktiv attack." Hon förklarade att det nuvarande bounty-programmet är tillgängligt året runt, inte bara vid en tävling. "Om du är en forskare som vill spela trevligt, som vill skydda människor, finns det en avgift nu . Du behöver inte vänta."
Och vinnaren är...
Moussouris uppskattar att upptäckter som är tillräckligt stora för att förtjäna en premie bara sker vart tredje år eller så. Hennes team var förvånad och glad över att hitta en värdig mottagare bara tre månader efter att bounty-programmet började. James Forshaw, chef för sårbarhetsforskning för brittisk baserad informationssäkerhet i Storbritannien, blir den första som får Mitigation Bypass Bounty.
I ett e-postmeddelande till SecurityWatch hade Forshaw detta att säga: "Microsofts Mitigation Bypass Bounty är väldigt viktigt för att hjälpa till att flytta fokusen på bounty-program från brott till försvar. Det stimulerar forskare som jag att begå tid och ansträngning till säkerhet på djupet snarare än bara strävar efter det totala sårbarhetsantalet. " Forshaw fortsatte, "För att hitta mitt vinnande intresse studerade jag de tillgängliga begränsningarna idag och efter brainstorming identifierade jag några potentiella vinklar. Inte alla var livskraftiga men efter en viss uthållighet lyckades jag äntligen."
När det gäller exakt vad Forshaw upptäckte kommer det inte att avslöjas direkt. Hela poängen är att ge Microsoft tid att ställa in försvar innan de onda gör samma upptäckt, trots allt!
