Video: We CALLED Microsoft to Check if $12 Windows 10 PRO Keys are LEGIT... (Oktober 2024)
Lad os sige, at du er en softwareudgiver med en global tilstedeværelse. Et sikkerhedshul i et af dine produkter, der lader skurkene stjæle privat information eller fjernstyre et offer-pc, kan have vidtrækkende konsekvenser. Hvis nogen opdagede et sådant hul, foretrækker du meget, at de fortæller dig om det end at sælge oplysningerne på det sorte marked for cyberkriminalitet, ikke? "Bug bounty" -programmer sigter mod at opmuntre til denne form for deling ved at belønne dem, der opdager sikkerhedshuller med kontanter, berømmelse eller begge dele, og de er mere almindelige, end du måske er klar over.
Rabatter over
Yahoos bug-program for nyheder lavede nyheder tidligere i denne uge. En gruppe schweiziske forskere, der undersøgte programmet, startede med at jage tre alvorlige script-bugs på tværs af websteder på Yahoo-websteder, sikkerhedshuller, der kunne give en angriber mulighed for at overtage et offer's Yahoo-e-mail-konto. (At finde disse bugs tog dem cirka en dag - skræmmende!). Efter at have verificeret rapporten tilbød Yahoo $ 12, 50 for hver fejl, der kan indløses til swag i firmabutikken.
Denne belønning virkede chintzy for mange. Tilbageslag fra denne rapport var betydelig nok til, at Yahoo annoncerede en ændring, noget de allerede arbejdede på. Det nye bug-bonusprogram vil belønne forskere, der rapporterer en bekræftet bug med kontanter, ikke swag, i et beløb fra $ 150 til $ 15.000, med det nøjagtige beløb bestemt af en klar, foruddefineret formel. Det nye program skulle være på plads i slutningen af denne måned, men det er tilbagevirkende kraft til 1. juli.
Tror du, at du har fundet et sikkerhedshul, der måske er noget værd? Bugcrowd webstedet viser alle aktuelle bug bounty programmer, der adskiller dem i dem, der tilbyder en belønning, berømmelse plus swag, bare berømmelse eller ingen belønning. Klik på linket for et givet produkt eller tjeneste for at besøge dens rapporteringsside.
Facebook tilbyder for eksempel et minimumsbeløb på $ 500 uden noget forudindstillet maksimum. Fra august havde Facebook udbetalt over en million dollars i sådanne beløb.
Udbetalinger fra Google for bekræftede fejl følger en veldefineret værdistabel. Disse spænder fra $ 100 for en almindelig webfejl på et Google-websted med lav prioritet og $ 20.000 til en sårbarhed med ekstern kodeudførelse i en meget følsom service. I et nik til at "leet-speak" kommer nogle typer med en $ 1337-belønning.
Microsoft er anderledes
Microsoft tilbyder forskere $ 100.000, eller endnu mere, til arbejde, der forbedrer sikkerheden, men det viser sig, at Microsoft-programmet ikke netop er en fejlbelønning. Katie Moussouris, senior sikkerhedsstrateg for Microsoft Trustworthy Computing, forklarede forskellen.
"Microsofts $ 100.000 Mitigation Bypass Bounty kræver, at deltagerne indsender virkelig nye udnyttelsesteknikker mod vores seneste Windows-platform, " sagde Moussouris, "så vi kan forbedre vores platform-omfattende forsvar. Nye udnyttelsesteknikker er vanskeligere at finde end individuelle sårbarheder og lære om dem vil hjælpe os med at beskytte kunder mod hele klasser af angreb for at forbedre sikkerheden ved sprang i stedet for at tackle en sårbarhed ad gangen. " Hun konkluderede, "Vi opfordrer forskere til at læse retningslinjerne for vores dusørprogrammer på www.microsoft.com/bountyprograms og sende deres indsendelser til [email protected]."
En forsker, der ikke kun rapporterer om en ny udnyttelsesteknik, men også leverer ideer til forsvar, kan kvalificere sig til en ekstra $ 50.000 BlueHat-bonus. Og husk, i 2012 udbetalte Microsoft over en fjerdedel af en million til vinderne af sin BlueHat Prize-konkurrence.
Det kræver en masse erfaring og en dukke af geni at kvalificere sig til Microsofts belønning. Sikkerhed er ofte et kat-og-mus-spil, forbrydere udtænker nye angreb, og forsvarere reagerer med nye tællere på disse angreb. At komme med nye udnyttelsesteknikker (og forsvar mod dem), før de onde fyre gør forsvaret i spidsen. Som Windows-bruger hilser jeg modtagerne. Tak gutter!
