Video: Apple Tergigit Persaingan Ponsel (Oktober 2024)
Banyak perusahaan perangkat lunak besar akan membayar "bug bounty" kepada orang pertama yang melaporkan lubang keamanan tertentu. Jumlah bayarannya bervariasi, tetapi jumlahnya bisa berkisar dari tepukan di belakang hingga ribuan dolar. Bounty Mitigasi Microsoft Bounty beroperasi pada tingkat yang jelas lebih tinggi. Untuk mengklaim hadiah $ 100.000, sebuah penelitian harus menghadirkan teknik eksploitasi baru yang efektif terhadap Windows versi terbaru. Penemuan semacam ini sangat jarang, namun, hanya tiga bulan setelah mengumumkan program ini, Microsoft hari ini membuat penghargaan $ 100.000 pertamanya.
Sejarah Kerja Sama
Saya berbicara dengan Katie Moussouris, pemimpin strategi keamanan senior untuk grup Microsoft Trustworthy Computing, tentang penghargaan ini dan tentang sejarah Microsoft dalam bekerja dengan para peneliti dan peretas. Moussouris bergabung sekitar enam setengah tahun yang lalu sebagai ahli strategi keamanan, tetapi "ada sejarah panjang Microsoft terlibat dengan para peneliti dan peretas, bahkan sebelum waktu saya."
Moussouris memberi contoh para peneliti yang menemukan kerentanan yang mendukung cacing Blaster. "Pejabat senior Microsoft mengunjungi mereka di Polandia, " katanya. "Mereka direkrut… Mereka masih bekerja dengan kami selama sepuluh tahun terakhir."
Dia mencatat bahwa konferensi BlueHat reguler Microsoft "membawa peretas ke Microsoft untuk bertemu orang-orang kami, untuk mendidik dan menghibur, dan membuat produk kami lebih aman." Pada 2012, kontes BlueHat Prize dari Microsoft memberikan lebih dari $ 250.000 untuk tiga peneliti akademis yang menghasilkan inovasi yang belum pernah terlihat sebelumnya.
Hadiah Saat Ini
"Tiga bulan lalu kami meluncurkan tiga karunia baru, " kata Moussouris, "dua di antaranya masih aktif." Selama 30 hari pertama pratinjau Internet Explorer 11, Microsoft menawarkan hadiah bug biasa. "Banyak peneliti bertahan, tidak melaporkan bug, menunggu rilis akhir, " kata Moussouris. "Kami memutuskan untuk mendorong mereka agar menyerahkan laporan itu." Pada akhir 30 hari program berjalan, enam peneliti telah mengklaim hadiah bug dengan total lebih dari $ 28.000.
Bounty Mitigasi Bounty secara khusus memberikan penghargaan kepada peneliti yang menemukan metode eksploitasi baru. "Jika kita belum tahu tentang pemrograman berorientasi kembali, " kata Moussouris, "penemuan itu akan menghasilkan $ 100.000." Ini bukan hanya penelitian kue-di-langit, baik. Seorang peneliti yang ingin mengklaim karunia ini harus menyediakan program bukti-konsep yang berfungsi yang menunjukkan teknik eksploitasi.
"Hanya ada tiga cara yang bisa dipelajari organisasi tentang serangan ini di masa lalu, " kata Moussouris. "Pertama, peneliti internal kita akan menemukan sesuatu. Kedua, itu akan muncul dalam kontes eksploitasi seperti Pwn2Own. Ketiga, dan terburuk, itu akan muncul dalam serangan aktif." Dia menjelaskan bahwa program hadiah saat ini tersedia sepanjang tahun, tidak hanya di kompetisi. "Jika kamu seorang peneliti yang ingin bermain baik, yang ingin melindungi orang, ada hadiah yang tersedia sekarang . Kamu tidak perlu menunggu."
Dan pemenangnya adalah...
Moussouris memperkirakan bahwa penemuan yang cukup besar untuk mendapat hadiah hanya terjadi setiap tiga tahun atau lebih. Timnya terkejut dan senang menemukan penerima yang layak hanya tiga bulan setelah program karunia dimulai. James Forshaw, Kepala Riset Kerentanan untuk Keamanan Informasi Konteks berbasis di Inggris, menjadi yang pertama menerima Bounty Mitigasi Bypass.
Dalam sebuah email ke SecurityWatch, Forshaw mengatakan ini: "Microsoft's Bypass Bounty Mitigasi sangat penting untuk membantu mengalihkan fokus program karunia dari pelanggaran ke pertahanan. Ini mendorong peneliti seperti saya untuk melakukan waktu dan upaya untuk keamanan secara mendalam, bukan hanya berjuang untuk jumlah kerentanan total. " Forshaw melanjutkan, "Untuk menemukan entri kemenangan saya, saya mempelajari mitigasi yang tersedia hari ini dan setelah melakukan brainstorming, saya mengidentifikasi beberapa sudut pandang potensial. Tidak semua dapat bertahan, tetapi setelah bertahan, akhirnya saya berhasil."
Adapun apa yang Forshaw temukan, itu tidak akan terungkap segera. Intinya adalah untuk memberi Microsoft waktu untuk menyiapkan pertahanan sebelum orang jahat membuat penemuan yang sama, setelah semua!
