מיקרוסופט מעניקה שכר אבטחה בסך 100,000 $ עבור מחקר חדשני

חברות תוכנה גדולות רבות ישלמו "שכר באגים" לגוף הראשון המדווח על חור אבטחה מסוים. סכומי ההנפקה משתנים, אך הם יכולים לנוע בין טפיחה בגב לאלפי דולרים. ההשתתפות בביצוע ההפחתה של מיקרוסופט פועלת ברמה גבוהה יותר באופן מובהק. על מנת לתבוע את התגמול בסך 100, 000 $, מחקר חייב להציג טכניקת ניצול חדשה לגמרי אשר אפקטיבית כנגד הגרסה האחרונה של Windows. תגלית מסוג זה היא די נדירה, ובכל זאת, שלושה חודשים בלבד לאחר שהכריזה על תוכנית זו, פרסמה מיקרוסופט היום את הפרס הראשון שלה בסך 100, 000 דולר.

היסטוריה של שיתוף פעולה

שוחחתי עם קייטי מוסוריס, מובילה באסטרטגיית אבטחה בקבוצת מחשובי חברת האמון של מיקרוסופט, על הפרס הזה ועל ההיסטוריה של מיקרוסופט לעבוד עם חוקרים והאקרים. מוסוריס הצטרף לפני כשש וחצי שנים כאסטרטג אבטחה, אך "הייתה היסטוריה ארוכה של מיקרוסופט עם קשרים עם חוקרים והאקרים, עוד לפני זמני."

מוסוריס נתן כדוגמא את החוקרים שגילו את הפגיעות שהפעילה את תולעת Blaster. "בכירים במיקרוסופט ביקרו אותם בפולין, " אמרה. "הם גויסו… הם עדיין עובדים איתנו בעשור האחרון."

היא ציינה כי הוועידות הרגילות של BlueHat של מיקרוסופט "מביאות האקרים למיקרוסופט לפגוש את האנשים שלנו, לחנך ולבדר ולהפוך את המוצרים שלנו לבטוחים יותר." בשנת 2012, תחרות פרס BlueHat של מיקרוסופט העניקה למעלה מ- 250, 000 $ לשלושה חוקרים אקדמיים שהעלו חידושים שלא נראו מעולם.

סכומים שוטפים

"לפני שלושה חודשים השקנו שלושה פרנסים חדשים", אמר מוסוריס, "שניים מהם עדיין פעילים." במהלך 30 הימים הראשונים של תצוגה מקדימה של Internet Explorer 11, מיקרוסופט הציעה סכומי באגים רגילים. "הרבה חוקרים החזיקו מעמד, לא דיווחו על באגים, וחיכו לשחרור סופי", ציין מוסוריס. "החלטנו לעודד אותם להגיש את הדוחות האלה." בתום ההפעלה בת 30 הימים של התוכנית, שישה חוקרים טענו בהנחות באגים בהיקף של מעל 28, 000 דולר.

מגבלת ההשתלטות על ההפחתה מתגמלת באופן ספציפי לחוקרים המגלים שיטת ניצול חדשה לגמרי. "אם לא היינו יודעים על תכנות מוכוונות חזרה", אמר מוסוריס, "תגלית זו הייתה מרוויחה 100, 000 $." זה גם לא רק פאי-בשמיים. חוקר שרוצה לתבוע את השפע הזה, חייב לספק תוכנית הוכחת-מושג עובדת המדגימה את טכניקת הניצול.

"היו רק שלוש דרכים שארגון יכול היה ללמוד על התקפות אלה בעבר", ציין מוסוריס. "ראשית, החוקרים הפנימיים שלנו ימצאו משהו. שנית, זה יופיע בתחרות ניצול כמו Pwn2Own. שלישית, והכי גרוע, זה יופיע במתקפה פעילה." היא הסבירה שתוכנית השפע הנוכחית זמינה כל השנה, ולא רק בתחרות. "אם אתה חוקר שרוצה לשחק נחמד, שרוצה להגן על אנשים, יש עכשיו שפע של זמינות. אתה לא צריך לחכות."

והמנצח הוא...

מוסיס מעריך כי תגליות גדולות מספיק בכדי לזכות בשפל רק מתרחשות כל שלוש שנים בערך. הצוות שלה הופתע ושמח למצוא מקבלת ראויה רק ​​שלושה חודשים לאחר תחילת תוכנית הבונטי. ג'יימס פורשהו, ראש מחקרי הפגיעות לביטחון מידע בהקשר בבריטניה, הופך להיות הראשון שקיבל את תגמול ההשתלמות.

בהודעת דוא"ל ל- SecurityWatch נאמר לפורשה: "השגת המימון המקטין של מיקרוסופט חשובה מאוד בכדי לסייע בהעברת המיקוד של תוכניות השפע מהעבירה להגנה. זה מתמרץ חוקרים כמוני להקדיש זמן ומאמץ לאבטחה לעומק ולא רק בשאיפה לספירת הפגיעות הכוללת. " פורשה המשיך, "כדי למצוא את הכניסה המנצחת שלי, חקרתי את ההקלות הקיימות היום ואחרי סיעור מוחות זיהיתי כמה זוויות אפשריות. לא כולם היו קיימים, אבל אחרי התמדה מסוימת הצלחתי סוף סוף."

באשר בדיוק למה שגילה פורשהו, זה לא ייחשף מייד. כל העניין הוא לתת למיקרוסופט זמן להגדיר הגנות לפני שהחבר'ה הרעים יגלו את אותה תגלית, אחרי הכל!