Video: Тайна о bug bounty (November 2024)
Veel grote softwarebedrijven betalen een "bugbounty" aan de eerste persoon die een bepaald beveiligingslek meldt. Premiebedragen variëren, maar ze kunnen overal variëren, van een schouderklopje tot duizenden dollars. Microsoft Mitigation Bypass Bounty werkt op een duidelijk hoger niveau. Om de beloning van $ 100.000 te claimen, moet een onderzoek een geheel nieuwe exploitatietechniek presenteren die effectief is tegen de allernieuwste versie van Windows. Dit soort ontdekking is vrij ongewoon en toch, slechts drie maanden na de aankondiging van dit programma, heeft Microsoft vandaag de eerste prijs van $ 100.000 toegekend.
Een geschiedenis van samenwerking
Ik sprak met Katie Moussouris, senior beveiligingsstrateeg voor de Microsoft Trustworthy Computing-groep, over deze prijs en over de geschiedenis van Microsoft van samenwerking met onderzoekers en hackers. Moussouris trad ongeveer zes en een half jaar geleden in dienst als beveiligingsstrateeg, maar "er was een lange geschiedenis van Microsoft in samenwerking met onderzoekers en hackers, zelfs vóór mijn tijd."
Moussouris gaf als voorbeeld de onderzoekers die de kwetsbaarheid ontdekten die de Blaster-worm aandreef. "Microsoft-hoge ambtenaren bezochten hen in Polen, " zei ze. "Ze werden aangeworven… Ze werken nog steeds het afgelopen decennium met ons samen."
Ze merkte op dat de reguliere BlueHat-conferenties van Microsoft "hackers naar Microsoft brengen om onze mensen te ontmoeten, te onderwijzen en te entertainen en onze producten veiliger te maken." In 2012 heeft Microsoft's BlueHat Prize-wedstrijd meer dan $ 250.000 toegekend aan drie academische onderzoekers die nooit eerder vertoonde innovaties hebben bedacht.
Huidige premies
"Drie maanden geleden hebben we drie nieuwe premies gelanceerd, " zei Moussouris, "waarvan er nog twee actief zijn." Tijdens de eerste 30 dagen van de preview van Internet Explorer 11 bood Microsoft gewone bugbounties. "Veel onderzoekers hielden vast, rapporteerden geen bugs, wachtend op de definitieve release", merkte Moussouris op. "We besloten hen aan te moedigen die rapporten in te dienen." Aan het einde van de 30-daagse run van dat programma hadden zes onderzoekers beweerd dat ze in totaal $ 28.000 aan bugs hadden betaald.
De Mitigation Bypass Bounty beloont specifiek onderzoekers die een geheel nieuwe exploitatiemethode ontdekken. "Als we nog niet op de hoogte waren van terugkeergericht programmeren, " zei Moussouris, "zou die ontdekking $ 100.000 hebben verdiend." Het is ook niet alleen taart-in-the-sky-onderzoek. Een onderzoeker die deze premie wil claimen, moet een werkend proof-of-concept-programma leveren dat de exploitatietechniek aantoont.
"Er waren slechts drie manieren waarop een organisatie in het verleden over deze aanvallen kon leren, " merkte Moussouris op. "Ten eerste zouden onze interne onderzoekers iets bedenken. Ten tweede zou het verschijnen in een exploitatiewedstrijd zoals Pwn2Own. Ten derde, en het ergste, het zou aan de oppervlakte komen in een actieve aanval." Ze legde uit dat het huidige bounty-programma het hele jaar door beschikbaar is, niet alleen bij een wedstrijd. "Als je een onderzoeker bent die leuk wil spelen, die mensen wil beschermen, is er nu een premie beschikbaar. Je hoeft niet te wachten."
En de winnaar is...
Moussouris schat dat ontdekkingen die groot genoeg zijn om een premie te verdienen, slechts om de drie jaar gebeuren. Haar team was verrast en verheugd om slechts drie maanden na het begin van het premieprogramma een waardige ontvanger te vinden. James Forshaw, hoofd van Vulnerability Research voor in het VK gevestigde contextinformatiebeveiliging, ontvangt als eerste de mitigatiebypass-premie.
In een e-mail aan SecurityWatch zei Forshaw het volgende: "Microsoft's Mitigation Bypass Bounty is erg belangrijk om de focus van premieprogramma's te helpen verleggen van aanval naar verdediging. Het stimuleert onderzoekers zoals ik om tijd en moeite diepgaand in te zetten in plaats van alleen beveiliging streven naar het totale aantal kwetsbaarheden. " Forshaw ging verder: "Om mijn winnende inzending te vinden, bestudeerde ik de mitigaties die vandaag beschikbaar zijn en na brainstormen identificeerde ik een paar mogelijke invalshoeken. Niet alle waren levensvatbaar, maar na enige persistentie was ik eindelijk succesvol."
Wat Forshaw precies heeft ontdekt, dat zal niet meteen worden onthuld. Het gaat erom dat Microsoft tijd krijgt om verdedigingen op te zetten voordat de slechteriken toch dezelfde ontdekking doen!
