Zuhause Sicherheitsuhr Keine einfache Bug-Bounty: Microsoft belohnt neuartige Ausnutzungstechniken

Keine einfache Bug-Bounty: Microsoft belohnt neuartige Ausnutzungstechniken

Video: $500 for Information Disclosure | Shopify | Bug Bounty 2020 (Dezember 2024)

Video: $500 for Information Disclosure | Shopify | Bug Bounty 2020 (Dezember 2024)
Anonim

Angenommen, Sie sind ein Software-Publisher mit globaler Präsenz. Eine Sicherheitslücke in einem Ihrer Produkte, durch die Bösewichte private Informationen stehlen oder einen PC eines Opfers fernsteuern können, könnte weitreichende Konsequenzen haben. Wenn jemand ein solches Loch entdeckt, ist es Ihnen viel lieber, wenn er Ihnen davon erzählt, als die Informationen auf dem Schwarzmarkt für Cyberkriminalität zu verkaufen, oder? "Bug Bounty" -Programme zielen darauf ab, diese Art des Teilens zu fördern, indem sie die entdeckten Sicherheitslücken mit Bargeld, Ruhm oder beidem belohnen.

Kopfgelder gibt es zuhauf

Yahoo Bug Bounty-Programm machte Nachrichten Anfang dieser Woche. Eine Gruppe von Schweizer Forschern, die das Programm untersuchten, suchte zunächst nach drei schwerwiegenden Cross-Site-Scripting-Fehlern auf Yahoo-Websites. Diese Sicherheitslücken könnten es einem Angreifer ermöglichen, das Yahoo-E-Mail-Konto eines Opfers zu übernehmen. (Das Auffinden dieser Käfer dauerte ungefähr einen Tag - beängstigend!). Nach Überprüfung des Berichts bot Yahoo 12, 50 USD für jeden Fehler an, der im Laden des Unternehmens gegen Beute einlösbar war.

Diese Belohnung schien für viele knifflig. Die Gegenreaktion aus diesem Bericht war so bedeutend, dass Yahoo eine Änderung ankündigte, an der bereits gearbeitet wurde. Das neue Bug-Bounty-Programm belohnt Forscher, die einen bestätigten Bug mit Bargeld und nicht mit Beute in einer Höhe von 150 bis 15.000 US-Dollar melden, wobei der genaue Betrag durch eine klare, vordefinierte Formel bestimmt wird. Das neue Programm sollte bis Ende dieses Monats vorliegen, rückwirkend jedoch bis zum 1. Juli.

Denken Sie, Sie haben eine Sicherheitslücke gefunden, die etwas wert sein könnte? Die Bug-Crowd-Website listet alle aktuellen Bug-Bounty-Programme auf und unterteilt sie in solche, die eine Belohnung, Ruhm plus Prahlerei, nur Ruhm oder keine Belohnung bieten. Klicken Sie auf den Link für ein bestimmtes Produkt oder eine bestimmte Dienstleistung, um die entsprechende Berichtsseite aufzurufen.

Facebook bietet zum Beispiel ein Mindestguthaben von 500 US-Dollar ohne voreingestelltes Maximum. Bis August hatte Facebook über eine Million Dollar an solchen Prämien ausgezahlt.

Auszahlungen von Google für bestätigte Fehler folgen einer genau definierten Wertetabelle. Diese reichen von 100 US-Dollar für einen häufigen Webfehler auf einer Google-Site mit niedriger Priorität bis zu 20.000 US-Dollar für eine Sicherheitsanfälligkeit bezüglich Remotecodeausführung in einem hochsensiblen Dienst. Einige Typen erhalten eine Belohnung von 1337 US-Dollar.

Microsoft ist anders

Microsoft bietet Forschern mindestens 100.000 US-Dollar für Arbeiten an, die die Sicherheit verbessern. Es hat sich jedoch herausgestellt, dass das Microsoft-Programm nicht gerade ein Bug Bounty ist. Katie Moussouris, leitende Sicherheitsstrategin bei Microsoft Trustworthy Computing, erklärte den Unterschied.

"Bei Microsofts $ 100.000 Mitigation Bypass Bounty müssen die Teilnehmer wirklich neuartige Nutzungstechniken für unsere neueste Windows-Plattform einreichen", sagte Moussouris Sie helfen uns, Kunden vor Angriffen aller Art zu schützen, um die Sicherheit sprunghaft zu verbessern, anstatt jeweils nur eine Sicherheitsanfälligkeit zu beheben. " Sie schloss: "Wir ermutigen Forscher, die Richtlinien unserer Kopfgeldprogramme unter www.microsoft.com/bountyprograms zu lesen und ihre Beiträge an [email protected] zu senden."

Ein Forscher, der nicht nur über eine neue Ausbeutungstechnik berichtet, sondern auch Ideen für die Verteidigung liefert, kann sich für einen zusätzlichen BlueHat-Bonus von 50.000 USD qualifizieren. Und denken Sie daran, dass Microsoft 2012 über eine Viertelmillion an die Gewinner des BlueHat-Preises ausgezahlt hat.

Es braucht viel Erfahrung und viel Genie, um sich für die Belohnung von Microsoft zu qualifizieren. Sicherheit ist oft ein Katz-und-Maus-Spiel. Kriminelle entwickeln neue Angriffe und Verteidiger reagieren mit neuen Zählern auf diese Angriffe. Das Entwickeln neuer Ausbeutungstechniken (und die Verteidigung gegen sie), bevor die Bösen die Verteidigung in Führung bringen. Als Windows-Benutzer begrüße ich die Empfänger. Danke Leute!

Keine einfache Bug-Bounty: Microsoft belohnt neuartige Ausnutzungstechniken