Video: Conchita Wurst - Rise like a phoenix - Cover by Emily (Decembris 2024)
Pieņemsim, ka esat programmatūras izdevējs ar globālu klātbūtni. Drošības caurumam vienā no jūsu produktiem, kas ļauj sliktiem zēniem nozagt privātu informāciju vai attālināti kontrolēt upura personālo datoru, var būt tālejošas sekas. Ja kāds atklātu šādu caurumu, jūs labprātāk gribētu, lai viņi jums to pastāstītu, nevis pārdotu informāciju kibernoziedzības melnajā tirgū, vai ne? Programmu "Bug bounty" mērķis ir veicināt šāda veida dalīšanos, apbalvojot tos, kuri atklāj drošības caurumus, ar skaidru naudu, slavu vai abiem, un viņi ir biežāk sastopami, nekā jūs varētu saprast.
Bounties ir daudz
Yahoo kļūdaino velšu programma parādīja jaunumus šonedēļ. Šveices pētnieku grupa, kas izmeklē programmu, sākās, meklējot trīs nopietnas vietņu skriptu kļūdas Yahoo vietnēs - drošības caurumus, kas varētu ļaut uzbrucējam pārņemt upura Yahoo e-pasta kontu. (Šo kļūdu atrašana aizņēma apmēram dienu - drausmīgi!). Pēc ziņojuma pārbaudes Yahoo piedāvāja USD 12, 50 par katru kļūdu, kuru varēja iegādāties par swag uzņēmuma veikalā.
Šis atalgojums daudziem šķita neķītrs. Šī ziņojuma pretestība bija pietiekami ievērojama, ka Yahoo paziņoja par izmaiņām, kaut uz kurām viņi jau strādā. Jaunā krāpšanās programma apbalvos pētniekus, kuri ziņo par pārbaudītu kļūdu ar skaidru naudu, nevis ar laupījumu, no USD 150 līdz USD 15 000, precīzu summu nosakot ar skaidru, iepriekš noteiktu formulu. Jaunajai programmai vajadzētu būt ieviestai līdz šī mēneša beigām, bet tā ir spēkā ar atpakaļejošu datumu līdz 1. jūlijam.
Vai domājat, ka esat atradis drošības caurumu, kas varētu būt kaut ko vērts? Bugcrowd vietnē ir uzskaitītas visas pašreizējās kļūdu novēršanas programmas, sadalot tās tajās, kas piedāvā atlīdzību, slavu un slavu, tikai slavu vai atlīdzību nesniedz. Noklikšķiniet uz attiecīgā produkta vai pakalpojuma saites, lai apmeklētu tā pārskatu lapu.
Piemēram, Facebook piedāvā minimālo piemaksu 500 USD, bez iepriekš iestatītā maksimālā. Kopš augusta Facebook šādās summās bija izmaksājis vairāk nekā miljonu dolāru.
Izmaksa no Google par verificētām kļūdām notiek saskaņā ar precīzi noteiktu vērtību tabulu. Tās svārstās no 100 USD par parastu tīmekļa trūkumu zemas prioritātes Google vietnē līdz USD 20 000 par attālinātu koda izpildes neaizsargātību īpaši jutīgā pakalpojumā. Pārliecinoties par “runas runāšanu”, daži tipi saņem atlīdzību par USD 1337.
Microsoft ir atšķirīgs
Microsoft piedāvā pētniekiem 100 000 USD vai pat vairāk, par darbu, kas uzlabo drošību, taču izrādās, ka Microsoft programma nav precīzi kļūda. Katie Moussouris, Microsoft Trustworthy Computing vecākais drošības stratēģis, paskaidroja atšķirību.
"Microsoft 100 000 ASV dolāru lielai apvedceļam prasa, lai dalībnieki iesniegtu patiesi jaunas ekspluatācijas metodes pret mūsu jaunāko Windows platformu, " sacīja Moussouris, "lai mēs varētu uzlabot mūsu platformas aizsargspējas. Jaunās izmantošanas metodes ir grūtāk atrodamas nekā atsevišķas ievainojamības un mācīšanās par to. tie palīdzēs mums aizsargāt klientus pret veselām uzbrukumu klasēm, lai ar lēcieniem uzlabotu drošību, nevis vienlaikus risinātu vienu ievainojamību. " Viņa secināja: "Mēs mudinām pētniekus izlasīt mūsu velnu programmu vadlīnijas vietnē www.microsoft.com/bountyprograms un nosūtīt savus iesniegumus uz e-pastu [email protected]."
Pētnieks, kurš ne tikai ziņo par jaunu izmantošanas paņēmienu, bet arī sniedz idejas aizsardzībai, var pretendēt uz papildu $ 50 000 BlueHat bonusu. Un atcerieties, ka 2012. gadā Microsoft izmaksāja vairāk nekā ceturtdaļu miljona tās BlueHat balvas konkursa uzvarētājiem.
Lai pretendētu uz Microsoft atlīdzību, ir vajadzīga liela pieredze un ģēnijs. Drošība bieži ir kaķu un peļu spēle, noziedznieki izdomā jaunus uzbrukumus, un aizstāvji uz šiem uzbrukumiem reaģē ar jauniem skaitītājiem. Jaunu ekspluatācijas paņēmienu (un aizsardzības pret viņiem) ieviešana pirms slikto puišu izvirzīšanas izvirza vadību aizsardzībā. Kā Windows lietotājs es sveicu saņēmējus. Paldies puiši!
