Video: Horizon 2020 - General overview (November 2024)
Recite, da ste založnik programske opreme z globalno prisotnostjo. Varnostna luknja v enem od vaših izdelkov, ki omogoča, da slabi fantje kradejo zasebne podatke ali na daljavo nadzorujejo žrtev osebni računalnik, bi lahko imeli daljnosežne posledice. Če bi kdo odkril takšno luknjo, bi raje povedal, da vam o tem reče, kot da prodaja informacije na črnem trgu kibernetske kriminalitete, kajne? "Bug bounty" programi želijo spodbuditi tovrstno skupno rabo z nagrajevanjem tistih, ki odkrijejo varnostne luknje, z denarjem, slavo ali obema in so pogostejši, kot se morda zavedate.
Bunties obiluje
Yahoojev program za odpravljanje napak je objavil novice v začetku tega tedna. Skupina švicarskih raziskovalcev, ki so preučevali program, se je lotila treh hudih hudih hripavskih skript na spletnih straneh Yahoo, varnostnih lukenj, ki bi napadalcu lahko omogočile prevzem žrtve e-poštnega računa Yahoo. (Najdba teh napak je trajala približno en dan - strašljivo!). Po preverjanju poročila je Yahoo ponudil 12, 50 dolarja za vsako napako, ki jo je mogoče unovčiti za zamenjavo v trgovini podjetja.
Ta nagrada se je mnogim zdela nejasna. Vzpostavitev tega poročila je bila dovolj pomembna, da je Yahoo napovedal spremembo, kar so že delali. Novi program za obrezovanje napak bo raziskovalce, ki poročajo o preverjeni napaki, z gotovino, ne zamikom, v znesku od 150 do 15 000 dolarjev, s točno količino, določeno z jasno, vnaprej določeno formulo. Nov program naj bi bil pripravljen do konca tega meseca, vendar bo za nazaj 1. julija.
Mislite, da ste našli varnostno luknjo, ki bi morda bila nekaj vredna? Na spletnem mestu bugcrowd so navedeni vsi trenutni programi napak, ki jih ločujejo na tiste, ki ponujajo nagrado, slavo in zamenjavo, samo slavo ali nagrado. Kliknite povezavo za določen izdelek ali storitev, da obiščete njegovo stran za poročanje.
Facebook na primer ponuja minimalno vsoto v višini 500 dolarjev, brez prednastavljenega maksimuma. Facebook je od avgusta nakazal za več kot milijon dolarjev takšnih obdobij.
Googlova izplačila za preverjene napake sledijo natančno določeni tabeli vrednosti. Te se gibljejo od 100 dolarjev za običajno pomanjkljivost spleta na Googlovem spletnem mestu z nizko prioriteto do 20 000 dolarjev za ranljivost pri oddaljeni izvedbi kode pri zelo občutljivi storitvi. Nekatere vrste, da bi "govorili, " nekatere vrste dobijo nagrado v višini 1337 dolarjev.
Microsoft je drugačen
Microsoft ponuja raziskovalcem 100.000 dolarjev ali celo več za delo, ki povečuje varnost, vendar se izkaže, da Microsoftov program ni ravno velik napak. Katie Moussouris, višja vodja varnostnega stratega za Microsoft Trustworthy Computing, je razložila razliko.
"Microsoftov 100.000 ameriški dolar za ublažitev obrezovanja od udeležencev zahteva, da udeleženci predložijo resnično nove tehnike izkoriščanja glede na našo najnovejšo platformo Windows, " je dejal Moussouris, "da bomo lahko izboljšali obrambo na celotni platformi. Nove tehnike izkoriščanja je težje najti kot posamezne ranljivosti in spoznati pomagali nam bodo zaščititi kupce pred celo vrsto razredov napadov, da bi izboljšali varnost s preskoki, namesto da bi obravnavali eno ranljivost hkrati. " Zaključila je: "Raziskovalce spodbujamo, naj preberejo smernice naših programov za nagrado na spletnem mestu www.microsoft.com/bountyprograms in pošljejo svoje prispevke na [email protected]."
Raziskovalec, ki ne samo poroča o novi tehniki izkoriščanja, ampak tudi poda ideje za obrambo, se lahko kvalificira za dodatnih 50.000 USD BlueHat Bonusa. In ne pozabite, da je Microsoft leta 2012 zmagovalcem nagradne igre BlueHat nagrad izplačal več kot četrt milijona.
Za nagrado Microsofta je potrebno veliko izkušenj in veliko genialnosti. Varnost je pogosto igra mačke in miške, kriminalisti oblikujejo nove napade, branilci pa se na te napade odzivajo z novimi števci. Z novimi tehnikami izkoriščanja (in obrambo pred njimi) preden slabi fantje zagovarjajo vodstvo. Kot uporabnik sistema Windows pozdravljam prejemnike. Hvala fantje!