تمنح Microsoft مكافأة أمان قدرها 100000 دولار للبحث المبتكر

ستدفع العديد من شركات البرمجيات الكبرى "مكافأة الأخطاء" إلى أول شخص يبلغ عن ثغرة أمنية معينة. تختلف مبالغ المكافآت ، ولكن يمكن أن تتراوح في أي مكان من ربت على الظهر إلى آلاف الدولارات. يعمل Microsoft Mitigation Bypass Bounty على مستوى أعلى بشكل واضح. من أجل المطالبة بمكافأة قدرها 100000 دولار ، يجب أن يقدم البحث تقنية جديدة للاستغلال فعالة ضد أحدث إصدار من Windows. هذا النوع من الاكتشاف غير شائع ، ومع ذلك ، بعد ثلاثة أشهر فقط من الإعلان عن هذا البرنامج ، قدمت Microsoft اليوم أول جائزة بقيمة 100000 دولار.

تاريخ التعاون

لقد تحدثت مع كاتي موسوريس ، مديرة استراتيجية الأمان العليا لمجموعة Microsoft Trustworthy Computing ، حول هذه الجائزة وعن تاريخ Microsoft في العمل مع الباحثين والمتسللين. انضم موسوريس منذ حوالي ست سنوات ونصف إلى خبير استراتيجي في مجال الأمن ، ولكن "كان هناك تاريخ طويل من مايكروسوفت يتعامل مع الباحثين والمتسللين ، حتى قبل وقتي".

أعطى موسوريس مثالًا للباحثين الذين اكتشفوا الثغرة الأمنية التي أدت إلى انتشار فيروس Blaster. وقالت: "زارهم كبار مسؤولي مايكروسوفت في بولندا". "لقد تم تجنيدهم… ما زالوا يعملون معنا خلال العقد الماضي".

وأشارت إلى أن مؤتمرات BlueHat المعتادة من Microsoft "تجلب المتسللين إلى Microsoft لمقابلة موظفينا وتثقيفهم وترفيههم وجعل منتجاتنا أكثر أمانًا." في عام 2012 ، منحت مسابقة BlueHat لجوائز Microsoft أكثر من 250.000 دولار لثلاثة باحثين أكاديميين توصلوا إلى ابتكارات لم يسبق لها مثيل.

المكافآت الحالية

وقال موسوريس: "منذ ثلاثة أشهر أطلقنا ثلاث منح جديدة. اثنان منها ما زالا نشطين". خلال الثلاثين يومًا الأولى من معاينة Internet Explorer 11 ، قدمت Microsoft مكافآت الأخطاء العادية. وأشار موسوريس إلى أن "الكثير من الباحثين كانوا يحتجزون ، ولا يبلغون عن أي أخطاء ، وينتظرون الإصدار النهائي". "قررنا تشجيعهم على تقديم تلك التقارير." في نهاية البرنامج الذي استمر 30 يومًا ، طالب ستة باحثين بمكافآت الأخطاء التي بلغ مجموعها أكثر من 28000 دولار.

مكافأة التخفيف من تجاوز المكافآت على وجه التحديد الباحثين الذين يكتشفون طريقة استغلال كاملة جديدة. وقال موسوريس: "إذا لم نكن نعرف بالفعل عن البرامج الموجهة نحو العودة ، فإن هذا الاكتشاف كان سيكسب 100 ألف دولار". إنها ليست مجرد بحث دائري في السماء. يجب على الباحث الذي يريد المطالبة بهذه المكافأة توفير برنامج عمل إثبات صحة المفهوم الذي يوضح أسلوب الاستغلال.

وقال موسوريس: "كانت هناك ثلاث طرق فقط يمكن أن تتعلم بها المنظمة حول هذه الهجمات في الماضي". "أولاً ، سيتوصل باحثون داخليون لدينا إلى شيء ما. وثانياً ، سوف يظهر في مسابقة استغلال مثل Pwn2Own. ثالثًا ، والأسوأ ، ستظهر في هجوم نشط." وأوضحت أن برنامج المكافآت الحالي متاح على مدار السنة ، وليس فقط في المنافسة. "إذا كنت باحثًا يريد أن يلعب دورًا لطيفًا ، ويرغب في حماية الأشخاص ، فهناك مكافأة متوفرة الآن . ليس عليك الانتظار".

و الفائز هو...

يقدر موسوريس أن الاكتشافات الكبيرة بما يكفي لجدارة المكافأة لا تحدث إلا كل ثلاث سنوات أو نحو ذلك. فوجئ فريقها وسعدها بإيجاد مستلم جيد بعد ثلاثة أشهر فقط من بدء برنامج المكافآت. أصبح جيمس فورشو ، رئيس أبحاث الثغرات الأمنية لأمن معلومات السياق في المملكة المتحدة ، أول من يحصل على "مكافأة التخفيف".

في رسالة بالبريد الإلكتروني إلى SecurityWatch ، كان على Forshaw أن يقول ذلك: "من المهم للغاية التخفيف من عبء مايكروسوفت عن المساعدة في تحويل تركيز برامج المكافآت من جريمة إلى دفاع. إنه يحفز الباحثين مثلي على الالتزام بالوقت والجهد للأمن بشكل متعمق بدلاً من مجرد السعي لإحصاء إجمالي الضعف ". تابع فورشو: "للعثور على دخولي الفائز ، درست عمليات التخفيف المتوفرة اليوم وبعد العصف الذهني ، حددت بعض الزوايا المحتملة. لم تكن جميعها قابلة للحياة ولكن بعد بعض الثبات ، نجحت أخيرًا".

بالنسبة إلى ما اكتشفه فورشو بالضبط ، فلن يتم الكشف عن ذلك على الفور. بيت القصيد هو إعطاء مايكروسوفت الوقت لإعداد الدفاعات قبل الأشرار جعل نفس الاكتشاف ، بعد كل شيء!