Trang Chủ Đồng hồ an ninh Không có tiền thưởng lỗi đơn giản: microsoft thưởng cho kỹ thuật khai thác tiểu thuyết

Không có tiền thưởng lỗi đơn giản: microsoft thưởng cho kỹ thuật khai thác tiểu thuyết

Video: iphone App store. cannot update app because it was refunded or purchased with a different apple id. (Tháng mười một 2024)

Video: iphone App store. cannot update app because it was refunded or purchased with a different apple id. (Tháng mười một 2024)
Anonim

Giả sử bạn là nhà xuất bản phần mềm có sự hiện diện toàn cầu. Lỗ hổng bảo mật trong một trong những sản phẩm của bạn cho phép kẻ xấu đánh cắp thông tin cá nhân hoặc điều khiển từ xa một PC nạn nhân có thể gây ra hậu quả sâu rộng. Nếu ai đó phát hiện ra một lỗ hổng như vậy, bạn sẽ thích họ nói với bạn về nó hơn là bán thông tin trên thị trường chợ đen tội phạm mạng, phải không? Các chương trình "Bug bounty" nhằm mục đích khuyến khích loại chia sẻ này bằng cách thưởng cho những người phát hiện ra lỗ hổng bảo mật bằng tiền mặt, danh tiếng hoặc cả hai và chúng phổ biến hơn bạn có thể nhận ra.

Tiền thưởng rất nhiều

Chương trình tiền thưởng lỗi của Yahoo đã đưa tin vào đầu tuần này. Một nhóm các nhà nghiên cứu Thụy Sĩ điều tra chương trình bắt đầu bằng cách săn lùng ba lỗi kịch bản chéo trang nghiêm trọng trên các trang web của Yahoo, các lỗ hổng bảo mật có thể cho phép kẻ tấn công chiếm đoạt tài khoản email Yahoo của nạn nhân. (Việc tìm ra những con bọ đó đã khiến chúng mất đi một ngày đáng sợ!). Sau khi xác minh báo cáo, Yahoo đã cung cấp $ 12, 50 cho mỗi lỗi, có thể đổi thành swag tại cửa hàng của công ty.

Phần thưởng đó có vẻ nhảm nhí với nhiều người. Phản ứng dữ dội từ báo cáo này đủ quan trọng để Yahoo tuyên bố thay đổi, điều mà họ đang thực hiện. Chương trình tiền thưởng lỗi mới sẽ thưởng cho các nhà nghiên cứu báo cáo lỗi đã được xác minh bằng tiền mặt, chứ không phải swag, với số tiền từ 150 đến 15.000 đô la, với số tiền chính xác được xác định bởi một công thức rõ ràng, được xác định trước. Chương trình mới sẽ được thực hiện vào cuối tháng này, nhưng nó sẽ hồi tố đến ngày 1 tháng Bảy.

Hãy nghĩ rằng bạn đã tìm thấy một lỗ hổng bảo mật có thể có giá trị gì đó? Trang web bugcrowd liệt kê tất cả các chương trình tiền thưởng lỗi hiện tại, tách chúng thành các chương trình cung cấp phần thưởng, danh tiếng cộng với swag, chỉ là danh tiếng hoặc không có phần thưởng. Nhấp vào liên kết cho một sản phẩm hoặc dịch vụ nhất định để truy cập trang báo cáo của nó.

Ví dụ, Facebook cung cấp tiền thưởng tối thiểu 500 đô la, không có mức tối đa được đặt trước. Tính đến tháng 8, Facebook đã trả hơn một triệu đô la tiền thưởng như vậy ..

Các khoản thanh toán từ Google cho các lỗi được xác minh tuân theo bảng giá trị được xác định rõ. Các mức này dao động từ 100 đô la cho một lỗ hổng Web phổ biến trên một trang web ưu tiên thấp của Google đến 20.000 đô la cho lỗ hổng thực thi mã từ xa trong một dịch vụ có độ nhạy cao. Trong một cái gật đầu với "leet-speak", một số loại đi kèm với phần thưởng $ 1337.

Microsoft là khác nhau

Microsoft cung cấp cho các nhà nghiên cứu 100.000 đô la, hoặc thậm chí nhiều hơn, cho công việc tăng cường bảo mật, nhưng hóa ra chương trình của Microsoft không chính xác là một lỗi tiền thưởng. Katie Moussouris, chiến lược gia bảo mật cao cấp của Microsoft Compworthy Computing, đã giải thích về sự khác biệt này.

Moussouris nói: "Để vượt qua mức giảm thiểu 100.000 đô la của Microsoft yêu cầu người tham gia gửi các kỹ thuật khai thác thực sự mới đối với nền tảng Windows mới nhất của chúng tôi", để chúng tôi có thể cải thiện hệ thống phòng thủ trên toàn nền tảng của mình. họ sẽ giúp chúng tôi bảo vệ khách hàng chống lại toàn bộ các lớp tấn công để cải thiện an ninh bằng những bước nhảy vọt, thay vì giải quyết một lỗ hổng tại một thời điểm. " Cô kết luận: "Chúng tôi khuyến khích các nhà nghiên cứu đọc hướng dẫn của các chương trình tiền thưởng của chúng tôi tại www.microsoft.com/bountyprograms và gửi bài dự thi của họ tới [email protected]."

Một nhà nghiên cứu không chỉ báo cáo một kỹ thuật khai thác mới mà còn cung cấp các ý tưởng để phòng thủ có thể đủ điều kiện nhận thêm 50.000 đô la BlueHat Bonus. Và hãy nhớ rằng, vào năm 2012, Microsoft đã chi hơn một phần tư triệu cho những người chiến thắng trong cuộc thi Giải thưởng BlueHat.

Phải mất rất nhiều kinh nghiệm và một thiên tài để đủ điều kiện nhận phần thưởng của Microsoft. Bảo mật thường là một trò chơi mèo vờn chuột, những kẻ tội phạm nghĩ ra các cuộc tấn công mới và những người bảo vệ phản ứng với các quầy mới cho các cuộc tấn công đó. Đến với các kỹ thuật khai thác mới (và phòng thủ chống lại chúng) trước khi kẻ xấu thực hiện việc phòng thủ dẫn đầu. Là người dùng Windows, tôi chào người nhận. Cảm ơn các bạn!

Không có tiền thưởng lỗi đơn giản: microsoft thưởng cho kỹ thuật khai thác tiểu thuyết