Daudzas lielākās programmatūras kompānijas maksās “kļūdu samaksu” pirmajai personai, kura ziņo par īpašu drošības caurumu. Bounty summas ir dažādas, taču tās var svārstīties jebkurā vietā - no pat aizmugures līdz pat tūkstošiem dolāru. Microsoft mazināšanas apvedceļš darbojas ievērojami augstākā līmenī. Lai pieprasītu atlīdzību 100 000 ASV dolāru apmērā, pētījumam ir jāprezentē pavisam jauna ekspluatācijas tehnika, kas ir efektīva pret pašu jaunāko Windows versiju. Šāda veida atklājumi ir diezgan reti, un tomēr tikai trīs mēnešus pēc šīs programmas paziņošanas Microsoft šodien piešķīra savu pirmo apbalvojumu 100 000 USD vērtībā.
Sadarbības vēsture
Es runāju ar Katie Moussouris, Microsoft Trustworthy Computing grupas vecāko drošības stratēģijas vadītāju, par šo balvu un par Microsoft vēsturi sadarbībā ar pētniekiem un hakeriem. Moussouris pievienojās apmēram pirms sešiem ar pusi gadiem kā drošības stratēģis, taču "bija sena vēsture, kad Microsoft sadarbojās ar pētniekiem un hakeriem, pat pirms mana laika."
Moussouris kā piemēru minēja pētniekus, kuri atklāja neaizsargātību, kas darbināja Blaster tārpu. "Microsoft vecākās amatpersonas apmeklēja viņus Polijā, " viņa sacīja. "Viņi tika pieņemti darbā… Viņi joprojām strādā ar mums pēdējo desmit gadu laikā."
Viņa atzīmēja, ka Microsoft regulārās konferences BlueHat "ienes hakerus Microsoft, lai satiktos ar mūsu cilvēkiem, izglītotu un izklaidētu, kā arī padarītu mūsu produktus drošākus". 2012. gadā Microsoft rīkotajā BlueHat balvas konkursā vairāk nekā 250 000 USD piešķīra trim akadēmiskajiem pētniekiem, kuri nāca klajā ar vēl nekad iepriekš neredzētiem jauninājumiem.
Pašreizējie maksājumi
"Pirms trim mēnešiem mēs uzsācām trīs jaunus maksājumus, " sacīja Moussouris, "no kuriem divi joprojām darbojas." Internet Explorer 11 priekšskatījuma pirmajās 30 dienās Microsoft piedāvāja parastus kļūdu krājumus. "Daudzi pētnieki aizturēja, neziņoja par kļūdām, gaidīja galīgo izlaišanu, " atzīmēja Moussouris. "Mēs nolēmām mudināt viņus iesniegt šos ziņojumus." Šīs programmas 30 dienu darbības beigās seši pētnieki bija pieprasījuši kļūdu apmēru, kas kopsummā pārsniedza 28 000 USD.
Mīkstinošais apvedceļš īpaši apbalvo pētniekus, kuri atklāj pilnīgi jaunu ekspluatācijas metodi. "Ja mēs jau nebūtu zinājuši par uz atgriešanos orientētu programmēšanu, " sacīja Moussouris, "šis atklājums būtu nopelnījis 100 000 USD." Tas nav tikai pētījums debesīs. Pētniekam, kurš vēlas pretendēt uz šo bagātību, ir jāiesniedz koncepcijas pierādīšanas programma, kas demonstrē ekspluatācijas paņēmienus.
"Bija tikai trīs veidi, kā organizācija agrāk varēja uzzināt par šiem uzbrukumiem, " atzīmēja Moussouris. "Pirmkārt, mūsu iekšējie pētnieki kaut ko izdomās. Otrkārt, tas parādīsies ekspluatācijas konkursā, piemēram, Pwn2Own. Treškārt, un pats sliktākais, tas parādīsies aktīvā uzbrukumā." Viņa paskaidroja, ka pašreizējā veltes programma ir pieejama visu gadu, nevis tikai konkursā. "Ja esat pētnieks, kurš vēlas spēlēt jauki, kurš vēlas aizsargāt cilvēkus, tagad ir pieejama velna. Jums nav jāgaida."
Un uzvarētājs ir...
Moussouris lēš, ka atklājumi, kas ir pietiekami lieli, lai pelnītu dedzību, notiek tikai ik pēc trim gadiem. Viņas komanda bija pārsteigta un gandarīta, ka tikai trīs mēnešus pēc bagātnieku programmas sākšanas atrada cienīgu saņēmēju. Džeimss Forshavs, Apvienotās Karalistes konteksta informācijas drošības ievainojamības izpētes vadītājs, kļūst par pirmo, kurš saņem mazināšanas apvedceļš.
Nosūtot e-pastu uz SecurityWatch, Forshaw teica: "Microsoft mazināšanas apvedceļš ir ļoti svarīgs, lai palīdzētu pārcelt piepūles programmu uzmanības centrā no nodarījuma uz aizsardzību. Tas stimulē pētniekus, piemēram, mani, veltīt laiku un pūles, lai padziļinātu drošību, nevis tikai tiekties pēc visa ievainojamības skaita. " Forshaw turpināja: "Lai atrastu savu uzvarošo darbu, es izpētīju šodien pieejamos mazināšanas pasākumus un pēc prāta vētras es identificēju dažus iespējamos leņķus. Ne visi bija dzīvotspējīgi, bet pēc nelielas noturības es beidzot guvu panākumus."
Kas attiecas tieši uz Forshaw atklāto, tas uzreiz netiks atklāts. Visa būtība ir dot Microsoft laiku aizsardzības izveidošanai, pirms galu galā sliktie puiši izdara to pašu atklājumu!
