Video: 7 BUGS IN WINDOWS (Oktober 2024)
Katakanlah Anda adalah penerbit perangkat lunak dengan keberadaan global. Lubang keamanan di salah satu produk Anda yang memungkinkan orang jahat mencuri informasi pribadi atau mengontrol PC korban dari jarak jauh dapat memiliki konsekuensi yang luas. Jika seseorang menemukan lubang seperti itu, Anda akan lebih suka mereka memberi tahu Anda tentang itu daripada menjual informasi di pasar gelap cybercrime, kan? Program "Bug Bounty" bertujuan untuk mendorong berbagi seperti ini dengan memberi penghargaan kepada mereka yang menemukan celah keamanan dengan uang tunai, ketenaran, atau keduanya, dan keduanya lebih umum daripada yang Anda sadari.
Bounties Berlimpah
Program hadiah bug Yahoo membuat berita awal pekan ini. Sekelompok peneliti Swiss yang menyelidiki program ini dimulai dengan memburu tiga bug skrip lintas situs yang serius di situs web Yahoo, lubang keamanan yang memungkinkan penyerang mengambil alih akun email Yahoo korban. (Menemukan serangga-serangga itu membutuhkan waktu sekitar satu hari - menakutkan!). Setelah memverifikasi laporan, Yahoo menawarkan $ 12, 50 untuk setiap bug, dapat ditukarkan untuk barang curian di toko perusahaan.
Bagi banyak orang, hadiah itu terasa chintzy. Reaksi dari laporan ini cukup signifikan sehingga Yahoo mengumumkan perubahan, sesuatu yang sudah mereka kerjakan. Program hadiah bug baru akan menghargai para peneliti yang melaporkan bug terverifikasi dengan uang tunai, bukan barang curian, dalam jumlah dari $ 150 hingga $ 15.000, dengan jumlah tepat ditentukan oleh formula yang jelas dan telah ditentukan sebelumnya. Program baru harus sudah ada pada akhir bulan ini, tetapi berlaku surut hingga 1 Juli.
Pikirkan Anda menemukan lubang keamanan yang mungkin bernilai sesuatu? Situs web bugcrowd mencantumkan semua program karunia bug saat ini, memisahkan mereka menjadi yang menawarkan hadiah, ketenaran ditambah barang curian, hanya ketenaran, atau tidak ada imbalan. Klik tautan untuk produk atau layanan yang diberikan untuk mengunjungi halaman pelaporannya.
Facebook, misalnya, menawarkan hadiah minimum $ 500, tanpa maksimum yang telah ditetapkan. Pada Agustus, Facebook telah membayar lebih dari satu juta dolar dalam hadiah seperti itu..
Pembayaran dari Google untuk bug terverifikasi mengikuti tabel nilai yang terdefinisi dengan baik. Ini berkisar dari $ 100 untuk cacat Web umum di situs Google prioritas rendah hingga $ 20.000 untuk kerentanan eksekusi kode jarak jauh dalam layanan yang sangat sensitif. Dalam anggukan untuk "berbicara-leet, " beberapa tipe datang dengan hadiah $ 1337.
Microsoft Berbeda
Microsoft menawarkan kepada peneliti $ 100.000, atau bahkan lebih, untuk pekerjaan yang meningkatkan keamanan, tetapi ternyata program Microsoft tidak tepat sebagai bug bug. Katie Moussouris, pemimpin strategi senior keamanan untuk Microsoft Trustworthy Computing, menjelaskan perbedaannya.
"Microsoft Bount Mitigasi Bounty senilai $ 100.000 mengharuskan peserta untuk mengirimkan teknik-teknik eksploitasi baru yang benar-benar terhadap platform Windows terbaru kami, " kata Moussouris, "sehingga kami dapat meningkatkan pertahanan platform-lebar kami. Teknik eksploitasi baru lebih sulit ditemukan daripada kerentanan individu dan belajar tentang mereka akan membantu kami melindungi pelanggan dari seluruh kelas serangan untuk meningkatkan keamanan dengan lompatan, daripada mengatasi satu kerentanan pada satu waktu. " Dia menyimpulkan, "Kami mendorong para peneliti untuk membaca pedoman program karunia kami di www.microsoft.com/bountyprograms dan mengirimkan kiriman mereka ke [email protected]."
Seorang peneliti yang tidak hanya melaporkan teknik eksploitasi baru tetapi juga memasok ide-ide untuk pertahanan dapat memenuhi syarat untuk tambahan Bonus BlueHat $ 50.000. Dan ingat, pada 2012 Microsoft membayar lebih dari seperempat juta untuk para pemenang kontes BlueHat Prize.
Dibutuhkan banyak pengalaman dan sedikit kejeniusan untuk memenuhi syarat untuk penghargaan Microsoft. Keamanan sering kali merupakan permainan kucing-dan-tikus, penjahat menyusun serangan baru dan pembela menanggapi dengan counter baru terhadap serangan itu. Muncul dengan teknik eksploitasi baru (dan pertahanan terhadap mereka) sebelum orang jahat benar-benar menempatkan pertahanan di depan. Sebagai pengguna Windows, saya salut kepada penerima. Terima kasih kawan!
