Την πρώτη αμοιβή για εύρεση κενού ασφαλείας στον Internet Explorer 11 Preview έδωσε η Microsoft
Λίγες εβδομάδες αφότου ξεκίνησε ο επίσημος… "διαγωνισμός" για την εύρεση bugs (Bug Bounty) στην έκδοση Internet Explorer 11 Preview, η Microsoft έδωσε την πρώτη αμοιβή σε ερευνητή, δίνοντας παράλληλα βεβαίως και τα απαραίτητα συγχαρητήρια για την εύρεση του κενού ασφαλείας.
Το "κυνήγι" για κενά ασφαλείας στην επερχόμενη έκδοση του γνωστού φυλλομετρητή της Microsoft ξεκίνησε προς τα τέλη του περασμένου Ιούνη, και η Microsoft σκοπεύει να ρίξει αρκετά χρήματα στο τραπέζι. Η Katie Moussouris, επικεφαλής στρατηγικής για την ασφάλεια, στο Resource Center της Microsoft (Microsoft Security Resource Center) ήδη βρίσκεται σε φάση ελέγχου περίπου μίας ντουζίνας από κενά ασφαλείας τα οποία διερευνούνται και τα οποία έχουν κατατεθεί από ερευνητές.
Η Katie Moussouris γράφει σχετικά: "Έχω ενημερώσει προσωπικά τον πρώτο παραλήπτη μέσω ηλεκτρονικού ταχυδρομίου για την υποβολή του πρώτου bug όσο αφορά στο Internet Explorer 11 Bug Bounty Preview το οποίο επιβεβαιώθηκε και επικυρώθηκε. Με λίγα λόγια, ο ερευνητής πληρώθηκε".
Ακόμα πάντως η κ. Mousouris δεν έχει δώσει τα ονόματα ερευνητών στην δημοσιότητα, ούτε έχει γίνει λόγος για το ποσό πληρωμής (γνωρίζουμε ότι προσφέρονται από $11.000 ανά bug), ωστόσο από ότι φαίνεται υπάρχουν αρκετοί ακόμη ερευνητές ασφάλειας που αναμένεται να πληρωθούν για τις υπηρεσίες τους. Update: Ο πρώτος ερευνητής, είναι ο Ivan Frantic, ερευνητής ασφαλείας της Google.
Πάντως το Microsoft Security Resource Center, αναμένεται να δώσει στην δημοσιότητα τα ονόματα όσων ερευνητών συνεισέφεραν στην ασφάλεια του Internet Explorer 11 σε μία ειδικά σχεδιασμένη για αυτόν τον σκοπό ιστοσελίδα. "Μείνετε συντονισμένοι, γιατί έρχεται σύντομα" λέει η Moussouris.
Η Microsoft πάντως μπορεί να μοιραστεί μαζί μας δύο αποτελέσματα-κλειδιά:
- Λαμβάνουν όλο και περισσότερες παρατηρήσεις από ότι νωρίτερα. Μάλιστα, η Microsoft λαμβάνει περισσότερες εκθέσεις που αφορούν στην ασφάλεια στις πρώτες εβδομάδες των προγραμμάτων “bounty” από ότι λάμβανε κατά μέσο όρο σε ένα μήνα. Αυτό δείχνει ότι η στρατηγική για να λαμβάνουν περισσότερες αναφορές που αφορούν σε κενά ασφαλείας νωρίτερα από τις κυκλοφορίες των προϊόντων αποδίδει καρπούς.
- Επίσης η προσέλευση περισσότερων και νέων ερευνητών. Ερευνητές που σπάνια, ή ακόμα και ποτέ δεν θα απευθύνονταν άμεσα στην Microsoft, έχουν πλέον την επιλογή να μιλήσουν άμεσα με την εταιρεία. Η Microsoft ερμηνεύει αυτό το γεγονός ως απόδειξη ότι η στρατηγική να ακούει πλέον από ανθρώπους, που δεν είχε την δυνατότητα να ακούσει στο παρελθόν, αποδίδει καρπούς επίσης.
Όπως η Moussouris εξηγεί: “Η Microsoft ήταν έξυπνη για το πώς επέλεξε να προσεγγίσει την συγκεκριμένη αγορά εύρεσης κενών ασφαλείας (όσοι δεν γνωρίζατε ότι υπάρχει τέτοια αγορά, τότε μάθετε ότι… υπάρχει). Υπάρχει η μαύρη αγορά, όπου τα bugs της πρώτης μέρας (της μέρας της ανακοίνωσης της διάθεσης ενός προϊόντος, zero-day αλλιώς) λαμβάνουν τις υψηλότερες αμοιβές. Στην συνέχεια, έχουμε την γκρίζα αγορά, όπου μισθοφόροι εύρεσης κενών ασφαλείας βγάζουν πενταροδεκάρες, δίνοντας πληροφορίες για κενά ασφαλείας και πως μπορεί κάποιος να τα εκμεταλλευτεί σε εταιρείες ή ακόμα και σε εθνικά κράτη. Η Microsoft ακολούθησε μία διαφορετική προσέγγιση, επικεντρώνοντας την προσοχή της στην… λευκή αγορά, και στους white-hat bug hunters, οι οποίοι προσέγγιζαν την Microsoft απευθείας προσπερνώντας τα χρήματα που τους έδιναν από την εκάστοτε αγορά."
Βεβαίως, υπήρξαν και κάποια θέματα… Όπως ότι η Microsoft παρατήρησε τους ερευνητές ή τους κυνηγούς κενών ασφαλείας, να κρατούν μυστικά κάποια κενά ασφαλείας για να αυξήσουν την αξία τους στις διάφορες αγορές, περιμένοντας την Microsoft να ανακοινώσει ότι είναι έτοιμη να βγάλει το επίμαχο προϊόν στην αγορά (Release to Manufacturing).
Η κ. Moussouris γράφει: "Δεν είναι το θέμα να προσφέρουμε τα περισσότερα χρήματα, αλλά να προσφέρουμε ελκυστικές αμοιβές σε στιγμές όπου δεν υπάρχουν πολλοί αγοραστές… Το ότι προσπαθούμε να είμαστε αυτοί που θα προσφέρουν την μεγαλύτερη αμοιβή, είναι μία σκακιστική κίνηση, και η αλήθεια είναι ότι παίζουμε σκάκι".
Nα συμπληρώσουμε ότι η Google, πλήρωσε πάνω από $580.000 τα τελευταία χρόνια για 501 κενά ασφαλείας στον Google Chrome ενώ το Mozilla Foundation, πλήρωσε περίπου $570.000 για 190 κενά ασφαλείας στον Firefox την ίδια περίπου τρίμηνη περίοδο. Σκεφτείτε τώρα πόσα γλυτώνουν οι εταιρείες λογισμικού από μία τέτοια στρατηγική, όταν θα πρέπει να πληρώσουν κατά μέσο όρο περίπου $100.000 τον χρόνο για ένα μόνο ερευνητή, που κοιτάει καθημερινά κώδικα στα εργαστήρια τους για την εύρεση κενών ασφαλείας! Περισσότερα μπορείτε να διαβάσετε εδώ.
Δείτε ακόμη...
- Για σοβαρό κενό ασφαλείας προειδοποιεί η Microsoft
- Έκτακτη αναβάθμιση ασφαλείας για τον Internet Explorer από την Microsoft
- Η Microsoft επισημαίνει ένα ακόμα κενό ασφαλείας στον Internet Explorer (όταν δεν χρησιμοποιείται το "Protected Mode") που θα μπορούσε να δώσει την δυνατότητα στον επιτιθέμενο να έχει πρόσβαση σε πληροφορίες (αρχεία κ.α) στον υπολογιστή του χρήστη
- H Samsung παραδέχεται την ύπαρξη κενού ασφαλείας στον kernel των επεξεργαστών Exynos!
Είσοδος
Συζητήσεις
-
0 απαντήσεις
-
0 απαντήσεις
-
3 απαντήσεις, τελευταία πριν 9 έτη 4 ημέρες
-
0 απαντήσεις
-
0 απαντήσεις
-
0 απαντήσεις
-
1 απάντηση, πριν 9 έτη 4 εβδομάδες
-
0 απαντήσεις
-
1 απάντηση, πριν 9 έτη 6 εβδομάδες
-
1 απάντηση, πριν 9 έτη 6 εβδομάδες
Bits & Bytes
-
πριν 10 έτη 10 εβδομάδες
-
πριν 10 έτη 34 εβδομάδες
-
πριν 11 έτη 27 εβδομάδες
-
πριν 11 έτη 43 εβδομάδες
-
πριν 11 έτη 51 εβδομάδες
-
πριν 12 έτη 11 εβδομάδες