ビデオ: æ·¡èå ¨çç¬å®¶é¦ååå¿å½±çãå¤ç«ã2 (九月 2024)
あなたがグローバルな存在感を持つソフトウェア発行者だとしましょう。 悪意のあるユーザーが個人情報を盗んだり、被害者のPCをリモートで制御したりできるようにする製品のセキュリティホールは、広範囲に及ぶ可能性があります。 誰かがそのような穴を発見した場合、サイバー犯罪の闇市場で情報を売るよりも、その穴について話したほうがいいでしょうか? 「バグバウンティ」プログラムは、セキュリティホールを発見した人に現金、名声、またはその両方を提供することで、この種の共有を促進することを目的としています。
バウンティアバウンド
ヤフーのバグ報奨金プログラムは今週初めにニュースを出しました。 このプログラムを調査しているスイスの研究者グループは、攻撃者が被害者のYahooメールアカウントを乗っ取ることができるセキュリティホールであるYahoo Webサイトの3つの深刻なクロスサイトスクリプティングバグを探し出すことから始めました。 (これらのバグを見つけるのに約1日かかりました。恐ろしいです!)。 レポートを確認した後、Yahooは各バグに対して12.50ドルを提供し、会社の店で盗品と交換できました。
その報いは多くの人にとっては楽しそうでした。 このレポートからの反発は十分に大きかったので、Yahooはすでに取り組んでいた変更を発表しました。 新しいバグ報奨金プログラムでは、検証済みのバグを報告した研究者に、スワッグではなく、150ドルから15, 000ドルの金額で報奨金が支払われます。正確な金額は、明確な事前定義式によって決定されます。 新しいプログラムは今月末までに導入されるはずですが、7月1日までさかのぼります。
何か価値があるかもしれないセキュリティホールを見つけたと思いますか? bugcrowdのWebサイトには、現在のすべてのバグバウンティプログラムが一覧表示され、それらを報酬、名声と盗品、名声のみ、または報酬なしを提供するものに分けています。 特定の製品またはサービスのリンクをクリックして、そのレポートページにアクセスします。
たとえば、Facebookでは、最低500ドルの賞金が用意されており、最大額は事前に設定されていません。 8月の時点で、Facebookはそのような賞金で100万ドル以上を支払いました。
検証済みのバグに対するGoogleからの支払いは、明確に定義された価値の表に従います。 これらは、優先度の低いGoogleサイトでの一般的なWeb欠陥の100ドルから、非常に機密性の高いサービスでのリモートコード実行脆弱性の20, 000ドルまでの範囲です。 「リートスピーク」とうなずくと、一部のタイプには1337ドルの報酬が付いています。
マイクロソフトは異なる
マイクロソフトは研究者にセキュリティを強化する作業に100, 000ドルまたはそれ以上を提供していますが、Microsoftプログラムは正確にはバグの恩恵ではないことがわかります。 Microsoft Trustworthy ComputingのシニアセキュリティストラテジストリーダーであるKatie Moussourisは、違いを説明しました。
「Microsoftの100, 000ドルのMitigation Bypass Bountyでは、参加者は最新のWindowsプラットフォームに対して真に斬新な悪用手法を提出する必要があります。プラットフォーム全体の防御を改善できるようにするためです。一度に1つの脆弱性に対処するのではなく、飛躍的にセキュリティを向上させるために、あらゆる種類の攻撃からお客様を保護するのに役立ちます。」 彼女は「研究者に奨励プログラムのガイドラインをwww.microsoft.com/bountyprogramsで読んで、その提出物を[email protected]に送信するように勧めています」と結論付けました。
新しい悪用手法を報告するだけでなく、防御のためのアイデアを提供する研究者は、追加の50, 000ドルのBlueHatボーナスの資格を得ることができます。 また、2012年、マイクロソフトはBlueHat賞コンテストの受賞者に25万ドル以上を支払いました。
マイクロソフトの報酬を得るには、多くの経験と天才が必要です。 多くの場合、セキュリティは猫とマウスのゲームであり、犯罪者は新しい攻撃を考案し、防御者はそれらの攻撃に対する新しいカウンターで対応します。 悪者が実際に防御をリードする前に、新しい悪用テクニック(およびそれらに対する防御)を考え出す。 Windowsユーザーとして、受信者に敬意を表します。 みんなありがとう!
