Video: Microsoft Managed Desktop: IT Admin experience (Oktober 2024)
Mnoga večja programska podjetja bodo plačala "škodo" za prvo osebo, ki poroča o določeni varnostni luknji. Zneski bounty-ja se razlikujejo, vendar se lahko gibljejo od koder na hrbtu do tisoč dolarjev. Microsoftov Microsoftov račun za ublažitev obvladovanja deluje na bistveno višji ravni. Za pridobitev nagrade v višini 100.000 dolarjev mora raziskava predstaviti povsem novo tehniko izkoriščanja, ki je učinkovita proti najnovejši različici sistema Windows. Tovrstna odkritja so precej neobičajna, vendar pa je Microsoft le tri mesece po objavi tega programa danes podelil prvo nagrado v višini 100.000 dolarjev.
Zgodovina sodelovanja
O tej nagradi in Microsoftovi zgodovini sodelovanja z raziskovalci in hekerji sem govoril s Katie Moussouris, vodilno vodjo varnostne strategije za Microsoft Trustworthy Computing. Moussouris se je pred približno šestimi leti in pol pridružil varnostnemu strategu, vendar je "še pred mojim časom Microsoft sodeloval z raziskovalci in hekerji".
Moussouris je kot primer navedel raziskovalce, ki so odkrili ranljivost, ki je napajala črv Blaster. "Microsoftovi visoki uradniki so jih obiskali na Poljskem, " je dejala. "Vpoklicali so jih… Še vedno delajo z nami zadnje desetletje."
Povedala je, da Microsoftove redne konference BlueHat "pripeljejo hekerje k Microsoftu, da spoznajo naše ljudi, se izobražujejo in zabavajo ter izboljšajo naše izdelke bolj varno." Leta 2012 je Microsoftov natečaj BlueHat Prize podelil več kot 250.000 dolarjev trem akademskim raziskovalcem, ki so se lotili še nikoli prej vidnih novosti.
Trenutni Bounties
"Pred tremi meseci smo lansirali tri nove bontone, " je dejal Moussouris, "od katerih sta dva še vedno aktivna." V prvih 30 dneh predogleda Internet Explorerja 11 je Microsoft ponudil navadne buntove. "Številni raziskovalci so se zadrževali in niso poročali o hrostih in čakali na končno izdajo, " je opozoril Moussouris. "Odločili smo se, da jih bomo spodbudili k oddaji teh poročil." Ob koncu tridesetdnevnega izvajanja tega programa je šest raziskovalcev zahtevalo odkupe hroščev v skupni vrednosti več kot 28.000 dolarjev.
Mitigation Bypass Bounty posebej nagrajuje raziskovalce, ki odkrijejo povsem nov način izkoriščanja. "Če ne bi že vedeli za povratno usmerjeno programiranje, " bi dejal Moussouris, "bi to odkritje zaslužilo 100.000 dolarjev." Tudi to ni samo raziskovanje neba. Raziskovalec, ki želi uveljaviti to dobroto, mora predložiti delujoč program, ki dokazuje koncept, ki prikazuje tehniko izkoriščanja.
"V preteklosti je organizacija lahko izvedela o teh napadih, " je opozoril Moussouris. "Prvič, naši notranji raziskovalci bi našli nekaj. Drugič, pojavil bi se v tekmovanju za izkoriščanje, kot je Pwn2Own. Tretjič, in najslabše, da bi se pojavil v aktivnem napadu." Pojasnila je, da je trenutni program nagrad na voljo vse leto, ne le na tekmovanju. "Če ste raziskovalec, ki se želi igrati lepo, ki želi zaščititi ljudi, je zdaj na voljo bogastvo. Ni vam treba čakati."
In zmagovalec je...
Moussouris ocenjuje, da se odkritja, ki so dovolj velika za zasluge, dogajajo le vsaka tri leta. Njena ekipa je bila presenečena in vesela, da je le tri mesece po začetku programa bounty našla vrednega prejemnika. James Forshaw, vodja raziskav o ranljivosti za informacijsko varnost v Združenem kraljestvu s sedežem v Veliki Britaniji, postane prvi, ki je prejel blažitveni obvodni račun.
V e-poštnem sporočilu SecurityWatch je Forshaw povedal: "Microsoftov mehanizem za ublažitev obvladovanja je zelo pomemben, da pomaga preusmeriti fokus programov nagrad z kaznivega dejanja na obrambo. Spodbuja raziskovalce, kot sem jaz, da vložijo čas in trud za varnost v globino, ne pa samo si prizadevajo za skupno število ranljivosti. " Forshaw je nadaljeval: "Da bi našel svoj zmagovalni vnos, sem preučil ublažitve, ki so danes na voljo, in po možganski nevihti ugotovil nekaj potencialnih kotov. Vsi niso bili sposobni preživeti, vendar sem po nekaj vztrajnosti končno uspel."
Točno tisto, kar je odkril Forshaw, tega ne bo razkrilo takoj. Bistvo tega je, da Microsoftu daste čas za postavitev obrambe, preden slabi fantje navsezadnje opravijo isto odkritje!
