لا مكافأة بسيطة: مايكروسوفت تكافئ تقنيات استغلال جديدة

قل أنك ناشر برامج له وجود عالمي. قد يؤدي وجود ثغرة أمنية في أحد منتجاتك التي تتيح للأشرار سرقة المعلومات الخاصة أو التحكم عن بُعد في كمبيوتر ضحية إلى عواقب بعيدة المدى. إذا اكتشف شخص ما مثل هذه الفجوة ، فأنت تفضل أن تخبرك عنها بدلاً من بيع المعلومات في السوق السوداء لجرائم الإنترنت ، أليس كذلك؟ تهدف برامج "Bug bounty" إلى تشجيع هذا النوع من المشاركة من خلال مكافأة أولئك الذين يكتشفون ثغرات الأمان بالنقد أو الشهرة أو كليهما ، وهي أكثر شيوعًا مما قد تدرك.

المكافآت كثيرة

قام برنامج Yahoo مكتوب بالأخطاء بإصدار أخبار في وقت سابق من هذا الأسبوع. بدأت مجموعة من الباحثين السويسريين الذين يحققون في البرنامج من خلال تعقب ثلاثة أخطاء خطيرة في البرمجة النصية عبر المواقع على مواقع Yahoo على الويب ، وهي ثغرات أمنية قد تسمح للمهاجمين بالاستيلاء على حساب بريد Yahoo الخاص بالضحية. (العثور على هذه الأخطاء استغرق منهم حوالي يوم - مخيف!). بعد التحقق من التقرير ، عرضت Yahoo 12.50 دولارًا لكل خلل ، يمكن استبدالها بالعنصر في متجر الشركة.

تلك المكافأة بدت شنيعة للكثيرين. كان رد الفعل من هذا التقرير كبيرًا بما فيه الكفاية بحيث أعلنت Yahoo عن تغيير ، وهو شيء كانوا يعملون عليه بالفعل. سيقوم برنامج مكافأة الأخطاء الجديد بمكافأة الباحثين الذين يبلغون عن خطأ تم التحقق منه بالنقد ، وليس غنيمة ، بمبلغ يتراوح من 150 إلى 15000 دولار ، مع تحديد المبلغ المحدد بواسطة صيغة واضحة ومحددة مسبقًا. يجب أن يكون البرنامج الجديد ساري المفعول بحلول نهاية هذا الشهر ، لكن بأثر رجعي حتى 1 يوليو.

هل تعتقد أنك عثرت على ثغرة أمنية قد تستحق شيئًا ما؟ يسرد موقع bugcrowd على الويب جميع برامج مكافآت الأخطاء الحالية ، ويفصل بينها وبين البرامج التي تقدم مكافأة أو شهرة زائد غنيمة أو مجرد شهرة أو بدون مكافأة. انقر فوق الارتباط الخاص بمنتج أو خدمة معينة لزيارة صفحة الإبلاغ الخاصة بها.

يقدم Facebook ، على سبيل المثال ، حدا أدنى يبلغ 500 دولار ، مع عدم وجود حد أقصى محدد مسبقًا. واعتبارًا من أغسطس ، دفع Facebook أكثر من مليون دولار من هذه المكافآت..

تتبع دفعات Google عن الأخطاء التي تم التحقق منها جدول قيم محدد جيدًا. وتتراوح هذه بين 100 دولار لعيب ويب شائع في أحد مواقع Google ذات الأولوية المنخفضة إلى 20.000 دولار لوجود ثغرة أمنية في تنفيذ التعليمات البرمجية عن بُعد في خدمة شديدة الحساسية. في إيماءة "للتحدث ،" تأتي بعض الأنواع بمكافأة قدرها 1337 دولار.

مايكروسوفت مختلفة

تقدم Microsoft للباحثين مبلغًا قدره 100000 دولار ، أو حتى أكثر ، للعمل الذي يعزز الأمان ، لكن اتضح أن برنامج Microsoft ليس بالضبط مكافأة. أوضحت كاتي موسوريس ، كبيرة استراتيجيين الأمن في شركة Microsoft Trustworthy Computing ، الفرق.

وقال موسوريس: "تتطلب Microsoft تجاوز 100.000 دولار لـ Mitigation Bypass Bounty للمشاركين تقديم تقنيات استغلال جديدة حقًا ضد أحدث منصات نظام التشغيل Windows الخاص بنا" ، حتى نتمكن من تحسين دفاعاتنا على مستوى النظام الأساسي. يصعب العثور على تقنيات الاستغلال الجديدة أكثر من نقاط الضعف الفردية والتعرف على سيساعدوننا في حماية العملاء من فئات الهجمات بأكملها لتحسين الأمان بشكل سريع ، بدلاً من معالجة مشكلة عدم حصانة واحدة في كل مرة. " واختتمت قائلة "نشجع الباحثين على قراءة الإرشادات الخاصة ببرامج المكافآت لدينا على الموقع www.microsoft.com/bountyprograms وإرسال تقاريرهم إلى [email protected]."

قد يتأهل الباحث الذي لا يبلغ عن تقنية استغلال جديدة فحسب ، بل يقدم أيضًا أفكارًا للدفاع ، للحصول على مكافأة BlueHat إضافية قدرها 50.000 دولار. وتذكر ، في عام 2012 ، دفعت Microsoft أكثر من ربع مليون دولار للفائزين في مسابقة جائزة BlueHat.

يتطلب الأمر الكثير من الخبرة ودمية عبقرية للتأهل لمكافأة Microsoft. الأمان غالبًا ما يكون لعبة القط والفأر ، حيث يقوم المهاجمون بوضع هجمات جديدة ويستجيب المدافعون بعدادات جديدة لتلك الهجمات. الخروج بتقنيات استغلال جديدة (ودفاع ضدهم) قبل الأشرار يضع الدفاع في المقدمة. كمستخدم Windows ، أحيي المستلمين. شكرا يا شباب!