ビデオ: Amito cosita ã ã ã (九月 2024)
多くの大手ソフトウェア会社は、特定のセキュリティホールを報告した最初の人に「バグ報奨金」を支払います。 報奨金の額はさまざまですが、その額は数ドルから数千ドルまでさまざまです。 マイクロソフトの軽減バイパスバウンティは、明らかに高いレベルで動作します。 100, 000ドルの報酬を請求するには、最新バージョンのWindowsに対して効果的な最新の悪用手法を調査で提示する必要があります。 この種の発見はめったにありませんが、このプログラムを発表してからわずか3か月で、Microsoftは本日、最初の100, 000ドルの賞を受賞しました。
協力の歴史
Microsoft Trustworthy Computingグループのシニアセキュリティ戦略リーダーであるKatie Moussourisに、この賞と、マイクロソフトの研究者やハッカーとの協力の歴史について話を聞きました。 Moussourisは約6年半前にセキュリティストラテジストとして参加しましたが、「Microsoftが私の時代以前から研究者やハッカーと関わってきた長い歴史がありました」。
Moussourisは、Blasterワームの原動力となった脆弱性を発見した研究者を例に挙げました。 「マイクロソフトの高官がポーランドで彼らを訪問した」と彼女は言った。 「彼らは採用されました…彼らは過去10年間、私たちとまだ働いています。」
彼女は、Microsoftの定期的なBlueHat会議では、「ハッカーをMicrosoftに連れて行き、従業員に会い、教育し、楽しませ、製品の安全性を高めます」と述べました。 2012年、マイクロソフトのBlueHat賞コンテストでは、これまでにない革新を思いついた3人の学術研究者に25万ドル以上を授与しました。
現在の報奨金
「3か月前に3つの新しい賞金を開始しました」とMoussouris氏は言います。 Internet Explorer 11プレビューの最初の30日間に、Microsoftは通常のバグ報奨金を提供しました。 「多くの研究者がバグを報告せずに、最終リリースを待っていました」とムソウリスは述べています。 「私たちは彼らにそれらの報告書を提出するよう奨励することにしました。」 そのプログラムの30日間の実行の終わりに、6人の研究者が合計28, 000ドルを超えるバグの報奨金を請求しました。
Mitigation Bypass Bountyは、まったく新しい搾取方法を発見した研究者に特別な報酬を与えます。 「リターン指向のプログラミングについてまだ知らなかったなら、その発見は100, 000ドルを稼いだであろう」とMoussourisは語った。 それは単なる空の研究でもありません。 この恩恵を主張したい研究者は、悪用手法を実証する実用的な概念実証プログラムを提供する必要があります。
「組織が過去にこれらの攻撃について知ることができる方法は3つしかありませんでした」とMoussouris氏は述べています。 「まず、社内の研究者が何かを思いつきます。次に、Pwn2Ownのような搾取コンテストに登場します。第三に、最悪の場合、積極的な攻撃で表面化します。」 彼女は、現在の賞金プログラムは競技会だけでなく一年中利用可能であると説明しました。 「あなたが素敵な遊びをしたい、人を保護したい研究者であるなら、 現在 利用できる報奨金があり ます 。待つ必要はありません。」
そして勝者は...
Moussourisは、賞金に値するほど大きな発見は3年ごとにしか起こらないと推定しています。 彼女のチームは、賞金プログラムが開始されてからわずか3か月で、ふさわしい受信者を見つけて驚きました。 英国を拠点とするコンテキスト情報セキュリティの脆弱性調査責任者であるジェームズ・フォーショーは、最初に緩和バイパスバウンティを受け取ります。
SecurityWatchへのメールで、Forshawはこう述べました。脆弱性の総数を求めて努力しています。」 フォーショーは続けて、「受賞作品を見つけるために、今日利用可能な緩和策を検討し、ブレーンストーミング後にいくつかの潜在的な角度を特定しました。
Forshawが発見したことについては、すぐには明らかになりません。 結局のところ、悪人が同じ発見をする前に、Microsoftに防御を設定する時間を与えることです。
