Video: Week 7, continued (Octombrie 2024)
Spuneți că sunteți editor de software cu prezență globală. O gaură de securitate a unuia dintre produsele dvs. care permite băieților răi să fure informații private sau să controleze de la distanță un computer al victimei poate avea consecințe de anvergură. Dacă cineva a descoperit o astfel de gaură, ai prefera să-ți spună despre asta decât să vândă informațiile de pe piața neagră a criminalității informatice, nu? Programele „Bug Bounty” își propun să încurajeze acest tip de partajare, răsplătind pe cei care descoperă găuri de securitate cu numerar, faimă sau ambele, și sunt mai des decât vă puteți da seama.
Bounties abundă
Programul Yahoo pentru recompense de bug-uri a făcut noutăți la începutul acestei săptămâni. Un grup de cercetători elvețieni care investighează programul a început prin vânarea a trei erori grave de scripturi de pe site-urile Yahoo, găuri de securitate care ar putea permite unui atacator să preia contul de e-mail al unei victime. (Găsirea acelor buguri le-a luat cam o zi - înfricoșătoare!). După verificarea raportului, Yahoo a oferit 12, 50 USD pentru fiecare eroare, care poate fi răscumpărată pentru swag la magazinul companiei.
Acea recompensă părea chinuitoare pentru mulți. Reacțiunea din acest raport a fost suficient de semnificativă încât Yahoo a anunțat o schimbare, lucru la care lucrau deja. Noul program de recompense pentru bug-uri va recompensa cercetătorii care raportează un bug verificat cu numerar, nu swag, într-o sumă cuprinsă între 150 și 15.000 USD, cu suma exactă determinată de o formulă clară, predefinită. Noul program ar trebui să fie în vigoare până la sfârșitul acestei luni, dar este retroactiv până la 1 iulie.
Crezi că ai găsit o gaură de securitate care ar putea să valoreze ceva? Site-ul bugcrowd listează toate programele curente de recompensare a erorilor, separându-le de cele care oferă recompensă, faimă plus swag, doar faimă sau nicio recompensă. Faceți clic pe linkul pentru un anumit produs sau serviciu pentru a vizita pagina de raportare.
Facebook, de exemplu, oferă o sumă minimă de 500 USD, fără maxim presetat. În august, Facebook a plătit peste un milion de dolari în astfel de recompense.
Plățile de la Google pentru erori verificate urmează un tabel de valori bine definit. Acestea variază de la 100 USD pentru un defect Web comun pe un site Google cu prioritate scăzută până la 20.000 USD pentru o vulnerabilitate la executarea codului la distanță într-un serviciu extrem de sensibil. În capul lui „leet-speak”, unele tipuri vin cu o recompensă de 1337 de dolari.
Microsoft este diferit
Microsoft oferă cercetătorilor 100.000 USD, sau chiar mai mult, pentru o muncă care îmbunătățește securitatea, dar se dovedește că programul Microsoft nu este tocmai o sumă de eroare. Katie Moussouris, strategul principal de securitate pentru Microsoft Trustworthy Computing, a explicat diferența.
"Bounty Bypass de 100.000 USD pentru atenuare a Microsoft necesită participanților să depună tehnici de exploatare cu adevărat noi împotriva celei mai recente platforme Windows", a spus Moussouris, astfel încât să putem îmbunătăți apărările noastre pe toată platforma. Noile tehnici de exploatare sunt mai dificil de găsit decât vulnerabilitățile individuale și învățarea despre aceștia ne vor ajuta să protejăm clienții împotriva unor clase întregi de atacuri pentru a îmbunătăți securitatea la pas, în loc să abordăm o singură vulnerabilitate simultan. " Ea a concluzionat: „Încurajăm cercetătorii să citească liniile directoare ale programelor noastre de recompense de pe www.microsoft.com/bountyprograms și să trimită trimiterile lor la [email protected]”.
Un cercetător care nu numai că raportează o nouă tehnică de exploatare, dar oferă și idei de apărare, se poate califica pentru un bonus suplimentar de 50.000 USD BlueHat. Și amintiți-vă, în 2012 Microsoft a plătit peste un sfert de milion câștigătorilor concursului său BlueHat Prize.
Este nevoie de multă experiență și un dollop de geniu pentru a putea beneficia de recompensa Microsoft. Securitatea este adesea un joc pentru pisici și mouse-uri, ascriminatorii creează noi atacuri și apărătorii răspund cu contoare noi la aceste atacuri. Venirea cu noi tehnici de exploatare (și apărarea împotriva lor) înainte ca cei răi să le pună în apărare. În calitate de utilizator Windows, îi salut pe destinatari. Multumesc baieti!
