Video: Microsoft Education - Innovative Music Education During Distance Learning (Oktober 2024)
Mange store programvareselskaper vil betale en "bug bounty" til den første personen som rapporterer et bestemt sikkerhetshull. Beløpsmengder varierer, men de kan variere fra et klapp på baksiden til tusenvis av dollar. Microsofts Mitigation Bypass Bounty opererer på et utpreget høyere nivå. For å kreve belønningen på 100 000 dollar, må en forskning presentere en helt ny utnyttelsesteknikk som er effektiv mot den aller nyeste versjonen av Windows. Denne typen funn er ganske uvanlig, og likevel, bare tre måneder etter kunngjøringen av dette programmet, delte Microsoft i dag sin første pris på $ 100 000.
En historie om samarbeid
Jeg snakket med Katie Moussouris, senior sikkerhetsstrategiledelse for Microsoft Trustworthy Computing-gruppen, om denne prisen og om Microsofts historie med å jobbe med forskere og hackere. Moussouris meldte seg inn for omtrent seks og et halvt år siden som en sikkerhetsstrateg, men "det var en lang historie med Microsoft som engasjerte seg med forskere og hackere, selv før min tid."
Moussouris ga som eksempel forskerne som oppdaget sårbarheten som drev Blaster-ormen. "Microsoft-tjenestemenn besøkte dem i Polen, " sa hun. "De ble rekruttert… De jobber fortsatt med oss det siste tiåret."
Hun bemerket at Microsofts vanlige BlueHat-konferanser "bringer hackere til Microsoft for å møte folkene våre, for å utdanne og underholde og gjøre produktene våre sikrere." I 2012 delte Microsofts BlueHat-priskonkurranse over 250 000 dollar til tre akademiske forskere som kom med innovasjoner som aldri før var sett.
Nåværende vederlag
"For tre måneder siden lanserte vi tre nye dusører, " sa Moussouris, "hvorav to fremdeles er aktive." I løpet av de første 30 dagene av forhåndsvisningen av Internet Explorer 11 tilbød Microsoft ordinære feilbeløp. "Mange forskere holdt på, ikke rapporterte feil, og ventet på endelig utgivelse, " bemerket Moussouris. "Vi bestemte oss for å oppfordre dem til å sende inn disse rapportene." På slutten av programmets 30-dagers kjøring hadde seks forskere hevdet feilbeløp på til sammen over 28.000 dollar.
Mitigation Bypass Bounty belønner spesielt forskere som oppdager en helt ny utnyttelsesmetode. "Hvis vi ikke allerede visste om returorientert programmering, " sa Moussouris, "den oppdagelsen ville ha tjent 100 000 dollar." Det er heller ikke bare kake-i-himmel-forskning. En forsker som ønsker å kreve denne dusøren må levere et fungerende proof-of-concept-program som demonstrerer utnyttelsesteknikken.
"Det var bare tre måter en organisasjon kunne lære om disse angrepene i fortiden, " bemerket Moussouris. "For det første ville våre interne forskere komme med noe. For det andre ville det dukke opp i en utnyttelseskonkurranse som Pwn2Own. For det tredje, og verst, vil det komme til syne i et aktivt angrep." Hun forklarte at dagens dusørprogram er tilgjengelig året rundt, ikke bare på en konkurranse. "Hvis du er en forsker som vil spille hyggelig, og som ønsker å beskytte mennesker, er det en dusør tilgjengelig nå . Du trenger ikke å vente."
Og vinneren er...
Moussouris anslår at funn som er store nok til å fortjene en dusør bare skjer hvert tredje år. Hennes team var overrasket og glad for å finne en verdig mottaker bare tre måneder etter at dusørprogrammet begynte. James Forshaw, sjef for sårbarhetsforskning for britisk-basert kontekstinformasjonssikkerhet, blir den første som mottar Mitigation Bypass Bounty.
I en e-post til SecurityWatch hadde Forshaw dette å si: "Microsofts Mitigation Bypass Bounty er veldig viktig for å bidra til å flytte fokuset på dusørprogrammer fra krenkelser til forsvar. Det incentiverer forskere som meg til å forplikte tid og krefter på sikkerhet i dybden i stedet for bare som streber etter det totale sårbarhetsantallet. " Forshaw fortsatte, "For å finne det vinnende innlegget mitt, studerte jeg de begrensningene som var tilgjengelige i dag, og etter idédugnad identifiserte jeg noen potensielle vinkler. Ikke alle var levedyktige, men etter en viss utholdenhet var jeg endelig vellykket."
Når det gjelder nøyaktig hva Forshaw oppdaget, vil det ikke bli avslørt med en gang. Hele poenget er å gi Microsoft tid til å sette opp forsvar før skurkene gjør det samme, tross alt!
