Video: #927 XRP Ripple auf 10000 US Dollar, Microsoft Wave Partnerschaft & Bitcoin profitiert von Altcoins (Kann 2024)
Viele große Software-Unternehmen zahlen der ersten Person, die eine bestimmte Sicherheitslücke meldet, ein "Bug Bounty". Die Kopfgeldbeträge variieren, sie können jedoch von einem Pat auf den Rücken bis zu Tausenden von Dollar reichen. Microsofts Mitigation Bypass Bounty arbeitet auf einer deutlich höheren Ebene. Um die Belohnung in Höhe von 100.000 US-Dollar zu erhalten, muss eine Studie eine brandneue Exploitationstechnik vorstellen, die gegen die neueste Version von Windows wirksam ist. Diese Art der Entdeckung ist recht ungewöhnlich, und dennoch vergab Microsoft bereits drei Monate nach Bekanntgabe dieses Programms seinen ersten Preis in Höhe von 100.000 US-Dollar.
Eine Geschichte der Zusammenarbeit
Ich sprach mit Katie Moussouris, Senior Security Strategy Lead der Microsoft Trustworthy Computing Group, über diese Auszeichnung und über die Zusammenarbeit von Microsoft mit Forschern und Hackern. Moussouris kam vor ungefähr sechseinhalb Jahren als Sicherheitsstratege dazu, aber "es gab eine lange Geschichte, in der Microsoft schon vor meiner Zeit mit Forschern und Hackern zusammengearbeitet hat."
Moussouris nannte als Beispiel die Forscher, die die Schwachstelle entdeckten, die den Blaster-Wurm antreibt. "Die leitenden Beamten von Microsoft haben sie in Polen besucht", sagte sie. "Sie wurden rekrutiert… Sie arbeiten noch seit einem Jahrzehnt mit uns zusammen."
Sie merkte an, dass Microsofts regelmäßige BlueHat-Konferenzen "Hacker zu Microsoft bringen, um unsere Mitarbeiter kennenzulernen, zu unterhalten und unsere Produkte sicherer zu machen". Im Jahr 2012 vergab der Microsoft BlueHat Prize-Wettbewerb über 250.000 US-Dollar an drei akademische Forscher, die mit noch nie dagewesenen Innovationen aufwarten.
Aktuelle Kopfgelder
"Vor drei Monaten haben wir drei neue Kopfgelder eingeführt", sagte Moussouris, "von denen zwei noch aktiv sind." In den ersten 30 Tagen der Internet Explorer 11-Vorschau bot Microsoft normale Bug-Bounties an. "Viele Forscher hielten fest, meldeten keine Fehler und warteten auf die endgültige Veröffentlichung", bemerkte Moussouris. "Wir haben beschlossen, sie zu ermutigen, diese Berichte einzureichen." Am Ende der 30-tägigen Laufzeit des Programms hatten sechs Forscher Bug Bounties in Höhe von insgesamt über 28.000 US-Dollar gefordert.
Die Mitigation Bypass Bounty belohnt speziell Forscher, die eine völlig neue Verwertungsmethode entdecken. "Wenn wir nicht schon etwas über renditeorientierte Programmierung gewusst hätten", sagte Moussouris, "hätte diese Entdeckung 100.000 US-Dollar verdient." Es geht auch nicht nur um "Pie-in-the-Sky" -Forschung. Ein Forscher, der diese Prämie beanspruchen möchte, muss ein funktionsfähiges Proof-of-Concept-Programm vorlegen, das die Ausbeutungstechnik demonstriert.
"In der Vergangenheit gab es nur drei Möglichkeiten, wie eine Organisation von diesen Angriffen erfahren konnte", bemerkte Moussouris. "Erstens würden sich unsere internen Forscher etwas einfallen lassen. Zweitens würde es in einem Ausbeutungswettbewerb wie Pwn2Own auftauchen. Drittens und schlimmstenfalls würde es in einem aktiven Angriff auftauchen." Sie erklärte, dass das aktuelle Kopfgeldprogramm das ganze Jahr über zur Verfügung stehe, nicht nur bei einem Wettbewerb. "Wenn Sie ein Forscher sind, der nett sein will, der Menschen beschützen will, steht jetzt ein Kopfgeld zur Verfügung. Sie müssen nicht warten."
Und der Gewinner ist...
Moussouris schätzt, dass Entdeckungen, die groß genug sind, um ein Kopfgeld zu verdienen, nur etwa alle drei Jahre stattfinden. Ihr Team war überrascht und erfreut, nur drei Monate nach Beginn des Kopfgeldprogramms einen würdigen Empfänger zu finden. James Forshaw, Leiter Vulnerability Research für Context Information Security in Großbritannien, erhält als erster die Mitigation Bypass Bounty.
In einer E-Mail an SecurityWatch hatte Forshaw Folgendes zu sagen: "Microsofts Mitigation Bypass Bounty ist sehr wichtig, um den Schwerpunkt von Bounty-Programmen von Angriff auf Verteidigung zu verlagern. Es ist ein Anreiz für Forscher wie mich, Zeit und Mühe in die Sicherheit zu stecken und nicht nur in die Tiefe das Streben nach der Gesamtzahl der Schwachstellen. " Forshaw fuhr fort: "Um meinen Siegerbeitrag zu finden, habe ich mich mit den heute verfügbaren Abhilfemaßnahmen befasst und nach einem Brainstorming einige potenzielle Aspekte ermittelt. Nicht alle waren realisierbar, aber nach einiger Beharrlichkeit war ich schließlich erfolgreich."
Genau das, was Forshaw entdeckt hat, wird nicht sofort verraten. Der springende Punkt ist, Microsoft Zeit zu geben, um Verteidigungen einzurichten, bevor die bösen Jungs dieselbe Entdeckung machen!
