Την πρώτη αμοιβή για εύρεση κενού ασφαλείας στον Internet Explorer 11 Preview έδωσε η Microsoft

Λίγες εβδομάδες αφότου ξεκίνησε ο επίσημος… "διαγωνισμός" για την εύρεση bugs (Bug Bounty) στην έκδοση Internet Explorer 11 Preview, η Microsoft έδωσε την πρώτη αμοιβή σε ερευνητή, δίνοντας παράλληλα βεβαίως και τα απαραίτητα συγχαρητήρια για την εύρεση του κενού ασφαλείας.

Το "κυνήγι" για κενά ασφαλείας στην επερχόμενη έκδοση του γνωστού φυλλομετρητή της Microsoft ξεκίνησε προς τα τέλη του περασμένου Ιούνη, και η Microsoft σκοπεύει να ρίξει αρκετά χρήματα στο τραπέζι. Η Katie Moussouris, επικεφαλής στρατηγικής για την ασφάλεια, στο Resource Center της Microsoft (Microsoft Security Resource Center) ήδη βρίσκεται σε φάση ελέγχου περίπου μίας ντουζίνας από κενά ασφαλείας τα οποία διερευνούνται και τα οποία έχουν κατατεθεί από ερευνητές.

Η Katie Moussouris γράφει σχετικά: "Έχω ενημερώσει προσωπικά τον πρώτο παραλήπτη μέσω ηλεκτρονικού ταχυδρομίου για την υποβολή του πρώτου bug όσο αφορά στο Internet Explorer 11 Bug Bounty Preview το οποίο επιβεβαιώθηκε και επικυρώθηκε. Με λίγα λόγια, ο ερευνητής πληρώθηκε".

Ακόμα πάντως η κ. Mousouris δεν έχει δώσει τα ονόματα ερευνητών στην δημοσιότητα, ούτε έχει γίνει λόγος για το ποσό πληρωμής (γνωρίζουμε ότι προσφέρονται από $11.000 ανά bug), ωστόσο από ότι φαίνεται υπάρχουν αρκετοί ακόμη ερευνητές ασφάλειας που αναμένεται να πληρωθούν για τις υπηρεσίες τους. Update: Ο πρώτος ερευνητής, είναι ο Ivan Frantic, ερευνητής ασφαλείας της Google.

Πάντως το Microsoft Security Resource Center, αναμένεται να δώσει στην δημοσιότητα τα ονόματα όσων ερευνητών συνεισέφεραν στην ασφάλεια του Internet Explorer 11 σε μία ειδικά σχεδιασμένη για αυτόν τον σκοπό ιστοσελίδα. "Μείνετε συντονισμένοι, γιατί έρχεται σύντομα" λέει η Moussouris.

Η Microsoft πάντως μπορεί να μοιραστεί μαζί μας δύο αποτελέσματα-κλειδιά:

  • Λαμβάνουν όλο και περισσότερες παρατηρήσεις από ότι νωρίτερα. Μάλιστα, η Microsoft λαμβάνει περισσότερες εκθέσεις που αφορούν στην ασφάλεια στις πρώτες εβδομάδες των προγραμμάτων “bounty” από ότι λάμβανε κατά μέσο όρο σε ένα μήνα. Αυτό δείχνει ότι η στρατηγική για να λαμβάνουν περισσότερες αναφορές που αφορούν σε κενά ασφαλείας νωρίτερα από τις κυκλοφορίες των προϊόντων αποδίδει καρπούς.
  • Επίσης η προσέλευση περισσότερων και νέων ερευνητών. Ερευνητές που σπάνια, ή ακόμα και ποτέ δεν θα απευθύνονταν άμεσα στην Microsoft, έχουν πλέον την επιλογή να μιλήσουν άμεσα με την εταιρεία. Η Microsoft ερμηνεύει αυτό το γεγονός ως απόδειξη ότι η στρατηγική να ακούει πλέον από ανθρώπους, που δεν είχε την δυνατότητα να ακούσει στο παρελθόν, αποδίδει καρπούς επίσης. 

Όπως η Moussouris εξηγεί: “Η Microsoft ήταν έξυπνη για το πώς επέλεξε να προσεγγίσει την συγκεκριμένη αγορά εύρεσης κενών ασφαλείας (όσοι δεν γνωρίζατε ότι υπάρχει τέτοια αγορά, τότε μάθετε ότι… υπάρχει). Υπάρχει η μαύρη αγορά, όπου τα bugs της πρώτης μέρας (της μέρας της ανακοίνωσης της διάθεσης ενός προϊόντος, zero-day αλλιώς) λαμβάνουν τις υψηλότερες αμοιβές. Στην συνέχεια, έχουμε την γκρίζα αγορά, όπου μισθοφόροι εύρεσης κενών ασφαλείας βγάζουν πενταροδεκάρες, δίνοντας πληροφορίες για κενά ασφαλείας και πως μπορεί κάποιος να τα εκμεταλλευτεί σε εταιρείες ή ακόμα και σε εθνικά κράτη. Η Microsoft ακολούθησε μία διαφορετική προσέγγιση, επικεντρώνοντας την προσοχή της στην… λευκή αγορά, και στους white-hat bug hunters, οι οποίοι προσέγγιζαν την Microsoft απευθείας προσπερνώντας τα χρήματα που τους έδιναν από την εκάστοτε αγορά."

Βεβαίως, υπήρξαν και κάποια θέματα… Όπως ότι η Microsoft παρατήρησε τους ερευνητές ή τους κυνηγούς κενών ασφαλείας, να κρατούν μυστικά κάποια κενά ασφαλείας για να αυξήσουν την αξία τους στις διάφορες αγορές, περιμένοντας την Microsoft να ανακοινώσει ότι είναι έτοιμη να βγάλει το επίμαχο προϊόν στην αγορά (Release to Manufacturing).

Η κ. Moussouris γράφει: "Δεν είναι το θέμα να προσφέρουμε τα περισσότερα χρήματα, αλλά να προσφέρουμε ελκυστικές αμοιβές σε στιγμές όπου δεν υπάρχουν πολλοί αγοραστές… Το ότι προσπαθούμε να είμαστε αυτοί που θα προσφέρουν την μεγαλύτερη αμοιβή, είναι μία σκακιστική κίνηση, και η αλήθεια είναι ότι παίζουμε σκάκι".

Nα συμπληρώσουμε ότι η Google, πλήρωσε πάνω από $580.000 τα τελευταία χρόνια για 501 κενά ασφαλείας στον Google Chrome ενώ το Mozilla Foundation, πλήρωσε περίπου $570.000 για 190 κενά ασφαλείας στον Firefox την ίδια περίπου τρίμηνη περίοδο. Σκεφτείτε τώρα πόσα γλυτώνουν οι εταιρείες λογισμικού από μία τέτοια στρατηγική, όταν θα πρέπει να πληρώσουν κατά μέσο όρο περίπου $100.000 τον χρόνο για ένα μόνο ερευνητή, που κοιτάει καθημερινά κώδικα στα εργαστήρια τους για την εύρεση κενών ασφαλείας! Περισσότερα μπορείτε να διαβάσετε εδώ.


Είσοδος

Συζητήσεις

See video
Sorry, you need to install flash to see this content.
Αξιολογούμε χρησιμοποιώντας διάφορα benchmarks, τη κορυφαία single-GPU λύση της AMD, Radeon R9 290 σε μία υλοποίηση της Sapphire με την ονομασία Sapphire Vapor-X R9 290X Tri-X OC Version
See video
Sorry, you need to install flash to see this content.
Δοκιμάζουμε μία νέα κάρτα γραφικών που βασίζεται στην GPU της AMD, Radeon R9 290 και προέρχεται από τη Sapphire. Πρόκειται για τη Sapphire Vapor-X R9 290 Tri-X OC Version
See video
Sorry, you need to install flash to see this content.
Δοκιμάζουμε το νέο Sony Xperia Z2, τη ναυαρχίδα της Ιαπωνικής εταιρείας στη κατηγορία των smartphones, για το 1ο εξάμηνο του 2014
See video
Sorry, you need to install flash to see this content.
Πρώτη επαφή με το motherboard της ASRock, Z97 Killer και τον νέο επεξεργαστή Intel Pentium G3258 Anniversary Edition

Bits & Bytes

Συλλογή ανεξάρτητου περιεχόμενου

Users

0 χρήστες and 22 επισκέπτες

Giorgoss
kondeloq
gerassimos5
Giwrgos1212
panagiotis81
hildegardokane78138
sonopitz04
anagnostopk
gthalicia320115
karampelas
rafaelmarmon79538
kristalwmi70288609947
voudas95
johnajohn
geoffreydse944876134

Ψηφοφορία

Ποιο κινητό πιστεύετε ότι είναι το καλύτερο μέχρι στιγμής για το 2014 (πρώτο εξάμηνο);:
back to top