Video: Microsoft Innovative Educator Spotlight: Merlyne Graves (Oktober 2024)
Mange store softwarevirksomheder betaler en "bug-bounty" til den første person, der rapporterer et bestemt sikkerhedshul. Beløbsmængder varierer, men de kan variere fra et klap på ryggen til tusinder af dollars. Microsofts Mitigation Bypass Bounty fungerer på et markant højere niveau. For at kræve belønningen på $ 100.000 skal en undersøgelse præsentere en splinterny udnyttelsesteknik, der er effektiv mod den allerbedste version af Windows. Denne type opdagelse er ganske usædvanlig, og alligevel, tre måneder efter annonceringen af dette program, uddelte Microsoft i dag sin første pris på $ 100.000.
En historie om samarbejde
Jeg talte med Katie Moussouris, senior sikkerhedsstrategiledning for Microsoft Trustworthy Computing-gruppen, om denne pris og om Microsofts historie med at arbejde med forskere og hackere. Moussouris tiltrådte for ca. seks og et halvt år siden som en sikkerhedsstrateg, men "der var en lang historie med Microsoft, der engagerede forskere og hackere, allerede før min tid."
Moussouris gav som eksempel forskerne, der opdagede sårbarheden, der drev Blaster-ormen. ”Microsoft højtstående embedsmænd besøgte dem i Polen, ” sagde hun. "De blev ansat… De arbejder stadig med os i det sidste årti."
Hun bemærkede, at Microsofts regelmæssige BlueHat-konferencer "bringer hackere til Microsoft for at møde vores folk, for at uddanne og underholde og gøre vores produkter mere sikre." I 2012 tildelte Microsofts BlueHat-priskonkurrence over $ 250.000 til tre akademiske forskere, der kom med aldrig før set nye innovationer.
Nuværende beløb
"For tre måneder siden lancerede vi tre nye bounties, " sagde Moussouris, "hvoraf to stadig er aktive." I løbet af de første 30 dage af forhåndsvisning af Internet Explorer 11 tilbød Microsoft almindelige bug-beløb. "Mange forskere holdt fast og rapporterede ikke fejl og ventede på endelig frigivelse, " bemærkede Moussouris. "Vi besluttede at opmuntre dem til at indsende disse rapporter." Ved afslutningen af programmets 30-dages løb havde seks forskere gjort krav på bugbeløb på i alt over $ 28.000.
Mitigation Bypass Bounty belønner specifikt forskere, der opdager en helt ny udnyttelsesmetode. "Hvis vi ikke allerede vidste om returorienteret programmering, " sagde Moussouris, "denne opdagelse ville have tjent $ 100.000." Det er heller ikke kun pie-in-the-sky-forskning. En forsker, der ønsker at hævde denne formue, skal levere et fungerende proof-of-concept-program, der demonstrerer udnyttelsesteknikken.
"Der var kun tre måder en organisation kunne lære om disse angreb i fortiden, " bemærkede Moussouris. "For det første ville vores interne forskere komme med noget. For det andet ville det optræde i en udnyttelseskonkurrence som Pwn2Own. For det tredje ville det, og værst, dukke op i et aktivt angreb." Hun forklarede, at det nuværende bounty-program er tilgængeligt året rundt, ikke kun ved en konkurrence. "Hvis du er en forsker, der vil lege, der ønsker at beskytte folk, er der en dusør tilgængelig nu . Du behøver ikke vente."
Og vinderen er...
Moussouris vurderer, at opdagelser, der er store nok til at fortjene en dusør, kun sker hvert tredje år eller deromkring. Hendes team blev overrasket og glad for at finde en værdig modtager kun tre måneder efter, at bounty-programmet startede. James Forshaw, leder af sårbarhedsundersøgelser for britisk-baseret kontekstinformationssikkerhed, bliver den første til at modtage Mitigation Bypass Bounty.
I en e-mail til SecurityWatch havde Forshaw dette til at sige: "Microsofts afhjælpende bypass-belønning er meget vigtig for at hjælpe med at skifte fokus på dusørprogrammer fra lovovertrædelse til forsvar. Det incitamenter forskere som mig til at begå tid og kræfter til sikkerhed i dybden snarere end bare stræber efter det samlede sårbarhedsantal. " Forshaw fortsatte, "For at finde min vindende post studerede jeg de tilgængelige begrænsninger i dag, og efter brainstorming identificerede jeg et par potentielle vinkler. Ikke alle var levedygtige, men efter en vis vedholdenhed lykkedes det mig endelig."
Hvad angår nøjagtigt, hvad Forshaw opdagede, afsløres det ikke med det samme. Hele pointen er at give Microsoft tid til at opsætte forsvar, før de onde fyre trods alt gør den samme opdagelse!
