Microsoft ได้รับรางวัลด้านความปลอดภัย $ 100,000 สำหรับการวิจัยเชิงนวัตกรรม

บริษัท ซอฟต์แวร์รายใหญ่หลายแห่งจะจ่าย "เงินรางวัลบั๊ก" ให้กับบุคคลแรกที่รายงานช่องโหว่ความปลอดภัยโดยเฉพาะ จำนวนเงินรางวัลจะแตกต่างกันไป แต่พวกเขาสามารถช่วงใดก็ได้จากการตบหลังไปหลายพันดอลลาร์ การผ่อนปรน Bypass Bounty ของ Microsoft ทำงานในระดับที่สูงขึ้นอย่างชัดเจน เพื่อรับรางวัล $ 100, 000 การวิจัยจะต้องนำเสนอเทคนิคการหาประโยชน์แบรนด์ใหม่ที่มีประสิทธิภาพต่อ Windows รุ่นล่าสุด การค้นพบแบบนี้ค่อนข้างแปลกและเพียงสามเดือนหลังจากประกาศโปรแกรมนี้วันนี้ Microsoft ได้รับรางวัล $ 100, 000 เป็นครั้งแรก

ประวัติความร่วมมือ

ฉันได้พูดคุยกับ Katie Moussouris ซึ่งเป็นผู้นำด้านกลยุทธ์ความปลอดภัยระดับสูงสำหรับกลุ่ม Microsoft Trustworthy Computing เกี่ยวกับรางวัลนี้และประวัติของ Microsoft เกี่ยวกับการทำงานกับนักวิจัยและแฮ็กเกอร์ Moussouris เข้าร่วมประมาณหกปีครึ่งที่ผ่านมาในฐานะนักยุทธศาสตร์ความปลอดภัย แต่ "มีประวัติอันยาวนานของ Microsoft ที่มีส่วนร่วมกับนักวิจัยและแฮ็กเกอร์แม้กระทั่งก่อนเวลาของฉัน"

Moussouris ยกตัวอย่างเช่นนักวิจัยที่ค้นพบช่องโหว่ที่ขับเคลื่อนหนอน Blaster "เจ้าหน้าที่ระดับสูงของ Microsoft เยี่ยมชมพวกเขาในโปแลนด์" เธอกล่าว "พวกเขาได้รับคัดเลือก … พวกเขายังคงทำงานร่วมกับเราในทศวรรษที่ผ่านมา"

เธอกล่าวว่าการประชุม BlueHat เป็นประจำของ Microsoft "นำแฮ็กเกอร์มาที่ Microsoft เพื่อพบปะผู้คนของเราให้ความรู้และความบันเทิงและทำให้ผลิตภัณฑ์ของเราปลอดภัยยิ่งขึ้น" ในปี 2555 การประกวด BlueHat Prize ของไมโครซอฟท์มอบรางวัลนักวิจัยด้านวิชาการมากกว่า 250, 000 เหรียญให้กับผู้คิดค้นนวัตกรรมที่ไม่เคยเห็นมาก่อน

เงินรางวัลปัจจุบัน

"สามเดือนที่ผ่านมาเราเปิดตัวสามรางวัลใหม่" Moussouris กล่าว "สองแห่งยังคงทำงานอยู่" ในช่วง 30 วันแรกของการแสดงตัวอย่าง Internet Explorer 11 ไมโครซอฟท์ได้เสนอรางวัลบั๊กทั่วไป “ นักวิจัยจำนวนมากยังคงยึดมั่นอยู่ไม่รายงานข้อผิดพลาดรอการเปิดตัวครั้งสุดท้าย” Moussouris กล่าว "เราตัดสินใจที่จะสนับสนุนให้พวกเขาส่งรายงานเหล่านั้น" ในตอนท้ายของการดำเนินโครงการ 30 วันนั้นนักวิจัยหกคนอ้างว่าได้รับเงินรางวัลรวมมากกว่า $ 28, 000

The Mitigation Bypass Bounty ให้รางวัลแก่นักวิจัยที่ค้นพบวิธีการหาประโยชน์ใหม่ทั้งหมด "หากเรายังไม่รู้เกี่ยวกับการเขียนโปรแกรมแบบมุ่งเน้นผลตอบแทน" Moussouris กล่าว "การค้นพบนั้นจะได้รับ $ 100, 000" มันไม่ได้เป็นเพียงแค่การวิจัยพายในท้องฟ้าเช่นกัน นักวิจัยที่ต้องการอ้างสิทธิ์รับรางวัลนี้จะต้องจัดหาโปรแกรมพิสูจน์แนวคิดรวบยอดที่ใช้งานได้ซึ่งแสดงให้เห็นถึงเทคนิคการใช้ประโยชน์

"มีเพียงสามวิธีที่องค์กรสามารถเรียนรู้เกี่ยวกับการโจมตีเหล่านี้ในอดีต" มูสซูริสตั้งข้อสังเกต "ขั้นแรกนักวิจัยภายในของเราจะคิดอะไรบางอย่างที่สองมันจะปรากฏในการประกวดหาประโยชน์เช่น Pwn2Own ประการที่สามและแย่ที่สุดมันจะปรากฏขึ้นในการโจมตีที่กำลังเกิดขึ้น" เธออธิบายว่าโปรแกรมค่าหัวปัจจุบันสามารถใช้ได้ตลอดทั้งปีไม่ใช่แค่การแข่งขัน “ หากคุณเป็นนักวิจัยที่ต้องการเล่นดีใครต้องการปกป้องผู้คน ตอนนี้ คุณสามารถรอได้ แล้ว คุณไม่ต้องรออีกเลย”

และผู้ชนะคือ…

ประมาณการ Moussouris ที่ค้นพบใหญ่พอที่จะทำบุญโปรดปรานเกิดขึ้นทุก ๆ สามปีหรือมากกว่านั้น ทีมของเธอรู้สึกประหลาดใจและยินดีที่ได้พบกับผู้รับที่มีค่าเพียงสามเดือนหลังจากโปรแกรมค่าหัวเริ่มขึ้น James Forshaw หัวหน้าฝ่ายวิจัยช่องโหว่สำหรับการรักษาความปลอดภัยข้อมูลตามบริบทของสหราชอาณาจักรกลายเป็นคนแรกที่ได้รับการบรรเทาบายพาส Bounty

ในอีเมลไปที่ SecurityWatch Forshaw กล่าวอย่างนี้ว่า: "การลดการบายพาสของไมโครซอฟท์เป็นสิ่งสำคัญมากที่จะช่วยเปลี่ยนจุดเน้นของโปรแกรมความโปรดปรานจากความผิดไปสู่การป้องกันเป็นแรงจูงใจนักวิจัยอย่างฉัน พยายามอย่างเต็มที่เพื่อนับช่องโหว่ทั้งหมด " Forshaw กล่าวต่อ "เพื่อค้นหาผู้ชนะของฉันฉันได้ศึกษาการบรรเทาผลกระทบที่มีอยู่ในวันนี้และหลังจากการระดมสมองฉันได้ระบุมุมที่เป็นไปได้สองสามอย่างนั้นไม่ใช่ทุกอย่างที่จะเป็นไปได้

สำหรับสิ่งที่ Forshaw ค้นพบนั่นจะไม่ถูกเปิดเผยในทันที ประเด็นทั้งหมดก็คือให้เวลากับ Microsoft ในการตั้งค่าการป้องกันก่อนที่คนร้ายจะค้นพบสิ่งเดียวกันหลังจากทั้งหมด!