אין שפע באגים פשוט: מיקרוסופט מתגמלת טכניקות ניצול חדשות

נניח שאתה מפרסם תוכנה עם נוכחות גלובלית. חור אבטחה באחד המוצרים שלך המאפשר לרעים להרוס מידע פרטי או לשלוט מרחוק במחשב הקורבן יכול להיות בעל השלכות מרחיקות לכת. אם מישהו היה מגלה חור כזה, אתה מעדיף שיספרו לך על זה מאשר למכור את המידע בשוק השחור בתחום הפשע הקיברנטי, נכון? תוכניות "באג באונטי" שואפות לעודד שיתוף מסוג זה על ידי תגמול אלה שמגלים חורי אבטחה במזומן, תהילה או שניהם, והם נפוצים יותר ממה שאתה יכול להבין.

שפע מכס

תוכנית השפע של באג של יאהו העלתה חדשות בתחילת השבוע. קבוצה של חוקרים שוויצרים שחקרה את התוכנית החלה בצידם של שלושה באגים תסריטים רציניים בין אתרים באתרי יאהו, חורי אבטחה העלולים לאפשר לתוקף להשתלט על חשבון הדואר האלקטרוני של יאהו של הקורבן. (מציאת הבאגים האלה לקחה אותם בערך יום - מפחיד!). לאחר אימות הדו"ח, הציעה יאהו 12.50 דולר עבור כל באג, שניתן להחלפה עבור swag בחנות החברה.

תגמול זה נראה בעיני רבים. הפיגוע בדו"ח זה היה מספיק משמעותי כדי שיאהו הודיעה על שינוי, משהו שכבר עבדו עליו. התוכנית החדשה לבאונטי באגים תגמול חוקרים המדווחים על באג מאומת במזומן, לא להחליף, בסכום שבין 150 ל 15, 000 $, כאשר הסכום המדויק נקבע על ידי נוסחה ברורה ומוגדרת מראש. התוכנית החדשה אמורה להיות במקומה בסוף חודש זה, אך היא רטרואקטיבית ל -1 ביולי.

חושבים שמצאת חור ביטחון שאולי שווה משהו? אתר הצפיפות המופיע מציג את כל תוכניות השפע הבאגי הנוכחיות, ומפריד אותן לאלה שמציעות פרס, תהילה פלוס swag, רק תהילה, או ללא פרס. לחץ על הקישור למוצר או שירות נתון כדי לבקר בדף הדיווח שלו.

פייסבוק, למשל, מציעה שכר מינימום של 500 דולר, ללא מקסימום מוגדר מראש. נכון לאוגוסט, פייסבוק שילמה מעל מיליון דולר בסכומים כאלה.

תשלומי Google עבור באגים מאומתים עוקבים אחר טבלת ערכים מוגדרת היטב. אלה נעים בין 100 $ לפגם אינטרנט נפוץ באתר גוגל בעדיפות נמוכה ועד 20, 000 $ עבור פגיעות של ביצוע קוד מרחוק בשירות רגיש ביותר. בהנהון "לדבר דיבור", ישנם סוגים עם תגמול של 1337 דולר.

מיקרוסופט שונה

מיקרוסופט מציעה לחוקרים 100, 000 דולר, ואף יותר מכך, עבור עבודה המשפרת את האבטחה, אך מסתבר שתוכנית מיקרוסופט אינה בדיוק שובר באגים. קייטי מוסוריס, ראש אסטרטג אבטחה בכיר בחברת Microsoft Trustworthy Computing, הסביר את ההבדל.

מוסוריס, "סכום של 100, 000 דולר למימון מקיף למימון, מחייב את המשתתפים להגיש טכניקות ניצול חדשות באמת נגד פלטפורמת Windows האחרונה שלנו", אמר מוסוריס, "כדי שנוכל לשפר את ההגנות שלנו בכל רחבי הפלטפורמה. טכניקות ניצול חדשות קשה יותר למצוא מאשר פגיעויות אינדיבידואליות וללמוד אודות הם יעזרו לנו להגן על לקוחות מפני סוגים שלמים של התקפות כדי לשפר את האבטחה בקפיצות, במקום לטפל בפגיעות אחת בכל פעם. " היא סיכמה, "אנו מעודדים חוקרים לקרוא את ההנחיות של תוכניות השפע שלנו בכתובת www.microsoft.com/bountyprograms ולשלוח את ההגשות שלהם לכתובת [email protected]."

חוקר שלא רק מדווח על טכניקת ניצול חדשה אלא גם מספק רעיונות להגנה עשוי להיות זכאי לתוספת בונוס של BlueHat בסך 50, 000 $. וזכרו, בשנת 2012 מיקרוסופט שילמה יותר מרבע מיליון לזוכים בתחרות פרס BlueHat שלה.

דרוש ניסיון רב ובובת גאונות כדי להעפיל לתגמולה של מיקרוסופט. ביטחון הוא לרוב משחק חתול ועכבר, פושעים מתכננים התקפות חדשות ומגנים מגיבים במונים חדשים לאותם פיגועים. המצאת טכניקות ניצול חדשות (והגנות נגדן) לפני שהחבר'ה הרעים אכן מביאה את ההגנה ליתרון. כמשתמש ב- Windows, אני מצדיע למקבלים. תודה חברה!