Video: Kommunfullmäktige, Skellefteå kommun, 2020-09-15 (September 2024)
Säg att du är en programförläggare med en global närvaro. Ett säkerhetshål i en av dina produkter som låter dåliga killar stjäla privat information eller fjärrkontrollera ett offer PC kan få långtgående konsekvenser. Om någon upptäckte ett sådant hål, skulle du mycket hellre förklara att de berättar om det än att sälja informationen på den svartkriminalmarknaden, eller hur? "Bug bounty" -program syftar till att uppmuntra denna typ av delning genom att belöna de som upptäcker säkerhetshål med kontanter, berömmelse eller båda, och de är vanligare än du kanske inser.
Återkommande vederlag
Yahoos bounty-program skapade nyheter tidigare denna vecka. En grupp schweiziska forskare som undersöker programmet började med att jaga ned tre allvarliga script-buggar på andra webbplatser på Yahoo-webbplatser, säkerhetshål som kan göra det möjligt för en angripare att ta över ett offrets Yahoo-e-postkonto. (Att hitta dessa buggar tog dem ungefär en dag - skrämmande!). Efter att ha verifierat rapporten erbjöd Yahoo $ 12, 50 för varje bugg, som kan lösas in för swag i företagets butik.
Den belöningen verkade chintzy för många. Återfallet från denna rapport var tillräckligt betydande för att Yahoo meddelade en förändring, något de redan arbetade med. Det nya bounty-programmet kommer att belöna forskare som rapporterar ett verifierat fel med kontanter, inte swag, i ett belopp från $ 150 till $ 15 000, med det exakta beloppet bestämt av en tydlig, fördefinierad formel. Det nya programmet bör vara på plats i slutet av denna månad, men det är retroaktivt till 1 juli.
Tror du att du har hittat ett säkerhetshål som kan vara värt något? Webbplatsen bugcrowd listar alla aktuella program för buggodo, och separerar dem i dem som erbjuder en belöning, berömmelse plus swag, bara berömmelse eller ingen belöning. Klicka på länken för en viss produkt eller tjänst för att besöka rapportsidan.
Facebook erbjuder till exempel ett lägsta belopp på 500 $ utan högsta förinställning. Från augusti hade Facebook betalat ut över en miljon dollar i sådana belopp.
Betalningar från Google för verifierade buggar följer en väldefinierad värdetabell. Dessa sträcker sig från $ 100 för en vanlig webbbrist på en lågprioriterad Google-webbplats till 20 000 $ för en sårbarhet för exekvering av kodkod i en mycket känslig tjänst. I ett nick för att "prata" talar vissa typer med en $ 1337-belöning.
Microsoft är annorlunda
Microsoft erbjuder forskare 100 000 dollar, eller till och med mer, för arbete som förbättrar säkerheten, men det visar sig att Microsoft-programmet inte är exakt en buggubb. Katie Moussouris, ledare för säkerhetsstrateg för Microsoft Trustworthy Computing, förklarade skillnaden.
"Microsofts $ 100 000 Mitigation Bypass Bounty kräver att deltagarna lämnar in verkligt nya exploateringstekniker mot vår senaste Windows-plattform, " sade Moussouris, "så att vi kan förbättra våra plattformsövergripande försvar. Nya exploateringstekniker är svårare att hitta än individuella sårbarheter och lära sig om de kommer att hjälpa oss att skydda kunder mot hela klasser av attacker för att förbättra säkerheten genom språng, snarare än att ta itu med en sårbarhet åt gången. " Hon avslutade, "Vi uppmuntrar forskare att läsa riktlinjerna för våra bounty-program på www.microsoft.com/bountyprograms och skicka in sina inlägg till sä[email protected]."
En forskare som inte bara rapporterar om en ny exploateringsteknik utan också tillhandahåller idéer för försvar kan kvalificera sig för ytterligare $ 50 000 BlueHat-bonus. Och kom ihåg att 2012 betalade Microsoft över en fjärdedel av en miljon till vinnarna i BlueHat-priset.
Det krävs mycket erfarenhet och en genuin docka för att kvalificera sig för Microsofts belöning. Säkerhet är ofta ett katt-och-mus-spel, kriminella planerar nya attacker och försvarare svarar med nya räknare på dessa attacker. Att komma med nya exploateringstekniker (och försvar mot dem) innan de onda gör försvaret i ledningen. Som Windows-användare hälsar jag mottagarna. Tack hörni!
