Video: SusanneK. eProfessional: An Smartly.io mag ich besonders, dass es so viele automatisierende Optimi.. (Tháng mười một 2024)
Nhiều công ty phần mềm lớn sẽ trả "tiền thưởng lỗi" cho người đầu tiên báo cáo lỗ hổng bảo mật cụ thể. Số tiền thưởng khác nhau, nhưng chúng có thể dao động ở bất cứ đâu, từ một cái vỗ nhẹ đến hàng ngàn đô la. Bypass Bounty của Microsoft hoạt động ở cấp độ cao hơn rõ rệt. Để nhận phần thưởng 100.000 đô la, một nghiên cứu phải trình bày một kỹ thuật khai thác hoàn toàn mới có hiệu quả so với phiên bản Windows mới nhất. Loại khám phá này khá hiếm, và chỉ ba tháng sau khi công bố chương trình này, Microsoft hôm nay đã kiếm được giải thưởng 100.000 đô la đầu tiên.
Lịch sử hợp tác
Tôi đã nói chuyện với Katie Moussouris, trưởng nhóm chiến lược bảo mật cao cấp cho nhóm Điện toán đáng tin cậy của Microsoft, về giải thưởng này và về lịch sử làm việc với các nhà nghiên cứu và tin tặc của Microsoft. Moussouris đã tham gia khoảng sáu năm rưỡi trước với tư cách là một chiến lược gia bảo mật, nhưng "có một lịch sử lâu dài về việc Microsoft tham gia với các nhà nghiên cứu và tin tặc, ngay cả trước thời của tôi".
Moussouris đã đưa ra một ví dụ như các nhà nghiên cứu đã phát hiện ra lỗ hổng bảo vệ con sâu Blaster. "Các quan chức cấp cao của Microsoft đã đến thăm họ ở Ba Lan, " cô nói. "Họ đã được tuyển dụng … Họ vẫn làm việc với chúng tôi trong thập kỷ qua."
Bà lưu ý rằng các hội nghị BlueHat thường xuyên của Microsoft "đưa tin tặc đến Microsoft để gặp gỡ mọi người, để giáo dục và giải trí và làm cho sản phẩm của chúng tôi an toàn hơn". Vào năm 2012, cuộc thi Giải thưởng BlueHat của Microsoft đã trao hơn 250.000 đô la cho ba nhà nghiên cứu hàn lâm, những người đã đưa ra những đổi mới chưa từng thấy.
Tiền thưởng hiện tại
"Ba tháng trước, chúng tôi đã đưa ra ba tiền thưởng mới, " Moussouris nói, "hai trong số đó vẫn còn hoạt động." Trong 30 ngày đầu tiên của bản xem trước Internet Explorer 11, Microsoft đã cung cấp các phần thưởng lỗi thông thường. Moussouris lưu ý: "Rất nhiều nhà nghiên cứu đã nắm giữ, không báo cáo lỗi, chờ phát hành cuối cùng". "Chúng tôi quyết định khuyến khích họ gửi những báo cáo đó." Vào cuối thời gian 30 ngày của chương trình đó, sáu nhà nghiên cứu đã tuyên bố tiền thưởng lỗi với tổng trị giá hơn 28.000 đô la.
Công cụ giảm thiểu Bounty đặc biệt thưởng cho các nhà nghiên cứu khám phá ra một phương pháp khai thác hoàn toàn mới. "Nếu chúng ta chưa biết về lập trình hướng trở lại, " Moussouris nói, "khám phá đó sẽ kiếm được 100.000 đô la." Nó cũng không chỉ là nghiên cứu trên trời. Một nhà nghiên cứu muốn yêu cầu tiền thưởng này phải cung cấp một chương trình bằng chứng khái niệm hoạt động thể hiện kỹ thuật khai thác.
"Chỉ có ba cách một tổ chức có thể tìm hiểu về các cuộc tấn công này trong quá khứ, " Moussouris lưu ý. "Đầu tiên, các nhà nghiên cứu nội bộ của chúng tôi sẽ đưa ra một cái gì đó. Thứ hai, nó sẽ xuất hiện trong một cuộc thi khai thác như Pwn2Own. Thứ ba, và tệ nhất, nó sẽ xuất hiện trong một cuộc tấn công tích cực." Cô giải thích rằng chương trình tiền thưởng hiện tại có sẵn quanh năm, không chỉ tại một cuộc thi. "Nếu bạn là một nhà nghiên cứu muốn chơi đẹp, muốn bảo vệ mọi người, thì bây giờ đã có tiền thưởng. Bạn không cần phải chờ đợi."
Và người chiến thắng là…
Moussouris ước tính rằng những khám phá đủ lớn để xứng đáng với tiền thưởng chỉ xảy ra cứ sau ba năm hoặc lâu hơn. Nhóm của cô đã rất ngạc nhiên và hài lòng khi tìm được một người nhận xứng đáng chỉ ba tháng sau khi chương trình tiền thưởng bắt đầu. James Forshaw, Trưởng phòng Nghiên cứu Lỗ hổng cho Bảo mật Thông tin Bối cảnh có trụ sở tại Vương quốc Anh, trở thành người đầu tiên nhận được Bounty Bypass Bounty.
Trong một email gửi tới SecurityWatch, Forshaw đã nói điều này: "Bỏ qua Bounty của Microsoft là rất quan trọng để giúp chuyển trọng tâm của các chương trình tiền thưởng từ tấn công sang phòng thủ. phấn đấu cho tổng số lỗ hổng. " Forshaw tiếp tục: "Để tìm ra mục thắng của mình, tôi đã nghiên cứu các biện pháp giảm thiểu có sẵn ngày hôm nay và sau khi động não tôi đã xác định được một vài góc độ tiềm năng. Không phải tất cả đều khả thi nhưng sau khi kiên trì, cuối cùng tôi đã thành công."
Đối với chính xác những gì Forshaw khám phá, điều đó sẽ không được tiết lộ ngay lập tức. Toàn bộ vấn đề là cho Microsoft thời gian để thiết lập phòng thủ trước khi kẻ xấu thực hiện cùng một khám phá!