Video: 50 Ultimate Excel Советы и хитрости для 2020 (Oktober 2024)
Si at du er en programvareutgiver med en global tilstedeværelse. Et sikkerhetshull i et av produktene dine som lar skurkene stjele privat informasjon eller eksternt kontrollere et offer-PC kan få vidtrekkende konsekvenser. Hvis noen oppdaget et slikt hull, foretrekker du mye at de forteller deg om det enn å selge informasjonen på det svartkriminelle svartemarkedet, ikke sant? "Bug bounty" -programmer har som mål å oppmuntre til denne typen deling ved å belønne de som oppdager sikkerhetshull med kontanter, berømmelse eller begge deler, og de er mer vanlige enn du kanskje skjønner.
Beløp over
Yahoos bug-dusørprogram ga nyheter tidligere denne uken. En gruppe sveitsiske forskere som undersøkte programmet startet med å jakte på tre alvorlige script-bugs på tvers av nettstedene på Yahoo-nettsteder, sikkerhetshull som kan tillate en angriper å overta et offerets Yahoo-e-postkonto. (Å finne disse feilene tok dem omtrent en dag - skummelt!). Etter å ha verifisert rapporten, tilbød Yahoo $ 12, 50 for hver feil, som kan innløses for swag i firmabutikken.
Den belønningen virket chintzy for mange. Tilbakesplingen fra denne rapporten var betydelig nok til at Yahoo kunngjorde en endring, noe de allerede jobbet med. Det nye bug-dusørprogrammet vil belønne forskere som rapporterer en bekreftet feil med kontanter, ikke sving, i et beløp fra $ 150 til $ 15 000, med det nøyaktige beløpet bestemt av en klar, forhåndsdefinert formel. Det nye programmet skal være på plass i slutten av denne måneden, men det er tilbakevirkende kraft til 1. juli.
Tror du at du har funnet et sikkerhetshull som kan være verdt noe? Bugcrowd nettstedet viser alle gjeldende bug bounty programmer, skiller dem inn i de som tilbyr en belønning, berømmelse pluss swag, bare berømmelse eller ingen belønning. Klikk på lenken for et gitt produkt eller en tjeneste for å besøke rapporteringssiden.
Facebook tilbyr for eksempel et minimumsbeløp på $ 500 uten noe forhåndsinnstilt maksimum. Fra august hadde Facebook utbetalt over en million dollar i slike skatter.
Betalinger fra Google for bekreftede feil følger en godt definert verdistabell. Disse spenner fra $ 100 for en vanlig webfeil på et Google-nettsted med lav prioritet og $ 20 000 for et sikkerhetsproblem i forbindelse med ekstern kjøring av kode i en svært følsom tjeneste. I et nikk til å "snakke", kommer noen typer med en belønning på $ 1337.
Microsoft er annerledes
Microsoft tilbyr forskere 100 000 dollar, eller enda mer, for arbeid som forbedrer sikkerheten, men det viser seg at Microsoft-programmet ikke nettopp er en bounty-bounty. Katie Moussouris, senior sikkerhetsstrateg leder for Microsoft Trustworthy Computing, forklarte forskjellen.
"Microsofts $ 100.000 Mitigation Bypass Bounty krever at deltakerne sender inn virkelig nye utnyttelsesteknikker mot vår nyeste Windows-plattform, " sa Moussouris, "slik at vi kan forbedre vårt plattform-omfattende forsvar. Nye utnyttelsesteknikker er vanskeligere å finne enn individuelle sårbarheter og lære om dem vil hjelpe oss å beskytte kunder mot hele angrepsklasser for å forbedre sikkerheten ved sprang, i stedet for å adressere ett sårbarhet om gangen. " Hun konkluderte, "Vi oppfordrer forskere til å lese retningslinjene for skuddpremieprogrammene våre på www.microsoft.com/bountyprograms og sende inn innsendingene til [email protected]."
En forsker som ikke bare rapporterer om en ny utnyttelsesteknikk, men også leverer ideer til forsvar, kan kvalifisere seg for en ekstra $ 50.000 BlueHat-bonus. Og husk at i 2012 utbetalte Microsoft over en kvart million til vinnerne av BlueHat Prize-konkurransen.
Det krever mye erfaring og en dukke av geni for å kvalifisere seg til Microsofts belønning. Sikkerhet er ofte et katt-og-mus-spill, kriminelle planlegger nye angrep og forsvarere svarer med nye tellere på disse angrepene. Å komme med nye utnyttelsesteknikker (og forsvar mot dem) før skurkene gjør forsvaret i spissen. Som Windows-bruker hilser jeg mottakerne. Takk folkens!
