Meggondolta magát a Microsoft, "security bug bounty" programokat indít

Titkosítás, biztonság, privát szféra

Számos szoftvercég, internetes szolgáltató indított már a múltban "security bug bounty" programot. A legismertebbek talán a Mozilla, Google, Facebook, Paypal stb. programjai.

Ezen programok keretén belül a cégek különböző összegű "jutalmakat" fizetnek azoknak, akik termékeikben biztonsági hibákat találnak és azok részleteit felelős közlés magatartást követve számukra bejelentik.

Biztonsági szakemberek régóta várták, hogy a legnagyobb szoftvergyártó, a Microsoft is indít ilyen programot. Korábban több biztonsági szakember is kijelentette: nincsenek többé ingyenes bugbejelentések. Ha a cégek ilyet akarnak, fizessenek érte.

2010-ben a Microsoft kijelentette: nem fizet jutalmat a hozzá bejelentett bugok után. A redmondi vállalat részéről Jerry Bryant (jelenleg a Microsoft vezető rangidős biztonsági programigazgatója) akkor elmondta, hogy véleményük szerint nem az a legjobb megoldás, hogy jutalmat fizetnek a bugok után. Szerintünk biztonsági körökben nem minden esetben anyagi a motiváció az egyes bejelentésekkel kapcsolatban.

Megjegyezte, hogy a Microsoft rendszeresen megemlíti a biztonsági figyelmeztetőiben a hiba felfedezőjét, megemlékezve arról, hogy az adott kutató értékes információkkal járult hozzá a sebezhetőség orvoslására kidolgozott javítás elkészítéséhez. Annak ellenére, hogy nem osztanak hibánként jutalmat, elismerik és jutalmazzák a tehetséges embereket. Volt példa már arra, hogy biztonsági körökben befolyásosnak számító egyének csatlakozhattak a Microsoft biztonsági csapatához alkalmazottként. Ezen kívül a vállalat közvetlen szerződéseket köt biztonsági vállalatokkal és néha magánszemélyekkel azért, hogy azok leteszteljék biztonsági szempontból egyes termékeiket még a kiadás előtt.

Ez volt a helyzet 2010-ben. Azóta a vállalat revideálta álláspontját és a többi céghez hasonló bug bounty programot jelentett be.

Dustin Childs a Microsoft Security Response Center (MSRC) blogon jelentette be az általuk indított három biztonsági hiba jutalom programot.

A programleírás szerint a Microsoft mostantól közvetlenül, készpénzzel jutalmazza a hozzá bejelentett sebezhetőségek és (hiba)kihasználási technikák leírásait.

2013. június 26-án három program indul:

  • Mitigation Bypass Bounty - max. 100 ezer dollár jutalom a teljes újnak számító, a legfrissebb operációs rendszerük védelmi mechanizmusaival (Windows 8.1 Preview) kapcsolatos hibakihasználási technikák bejelentéséért
  • BlueHat Bonus for Defense - plusz max. 50 ezer dollár jutalom azokért az új védelmi ötletekért, amelyek segítenek megakadályozni a fent említett bugok jövőbeli kihasználását
  • Internet Explorer 11 Preview Bug Bounty - ahogy az a nevéből is látszik, a legfrissebb Windowson (Windows 8.1 Preview) futó Internet Explorer 11 Preview verziót érintő kritikus biztonsági hibák bejelentése után fizet a vállalat jutalmat e program keretében. A jutalom maximális összege 11 ezer dollár.

Részletek a Microsoft Security Bounty Programs

( nevergone v | 2013. 06. 21., p – 14:17 )

BlueHat :)

-----
"Egy jó kapcsolatban a társunkat az ő dolgában kell támogatni, nem a miénkben."
rand() a lelke mindennek! :)

( blalo | 2013. 06. 21., p – 16:12 )

Lehet azért nem fizettek mert tudták annyira bugosak a programjaik, hogy csődbe mentek volna ha minden hibát megtalálónak fizetnek?

Viccnek szántad, de több (vélelmezhető) hiba is van benne.

Először is, a main() paraméterlistája nem szabványos.

Másodszor, a program exit status-a nem tükrözi, hogy az stdout-ra írás sikeres volt-e. Ez a printf() visszatérési értékéből nem feltétlenül látszik, pl. ha az stdout fully buffered, akkor az alantas write() a main() elhagyásáig nem feltétlenül kerül meghívásra. 


#include <stdio.h>
#include <stdlib.h>

int
main(void)
{
  return 0 > printf("Hello World\n") || EOF == fflush(stdout)
      ? EXIT_FAILURE : EXIT_SUCCESS;
}


./a.out >> /dev/full; printf %u\\n $?

( Aadaam v | 2013. 06. 21., p – 19:30 )

Ebbol a hozzaallasbol is latszik, hogy nincs olyan hogy white hat hacker max pepita

( GerzSonka | 2013. 06. 21., p – 20:44 )

A cégünknél a menedzsment állandó problémája, és folyton felmerülő kérdés, mivel lehet motiválni az embereket? És mi mindig elmondjuk, hogy pénzzel. :)
--
"Always code as if the guy who ends up maintaining your code will be a violent psychopath who knows where you live." John F. Woods 

Get dropbox account now!