Video: (in)Sicurezza Informatica: Come si lavora nel campo della sicurezza, scuole, requisiti e scorciatoie (Settembre 2024)
Molte grandi aziende produttrici di software pagheranno una "taglia di bug" alla prima persona che segnala una particolare falla nella sicurezza. Gli importi delle taglie variano, ma possono variare da una pacca sulla schiena a migliaia di dollari. La taglia di bypass di mitigazione di Microsoft opera a un livello nettamente superiore. Per ottenere il premio di $ 100.000, una ricerca deve presentare una nuovissima tecnica di sfruttamento efficace contro l'ultima versione di Windows. Questo tipo di scoperta è abbastanza rara, eppure, a soli tre mesi dall'annuncio del programma, Microsoft ha vinto il suo primo premio da $ 100.000.
Una storia di cooperazione
Ho parlato con Katie Moussouris, responsabile senior della strategia di sicurezza per il gruppo Microsoft Trustworthy Computing, su questo premio e sulla storia di Microsoft nel lavorare con ricercatori e hacker. Moussouris si è unito circa sei anni e mezzo fa come stratega della sicurezza, ma "c'era una lunga storia di contatti con Microsoft con ricercatori e hacker, anche prima del mio tempo".
Moussouris ha fornito ad esempio i ricercatori che hanno scoperto la vulnerabilità che alimentava il worm Blaster. "Gli alti funzionari Microsoft li hanno visitati in Polonia", ha detto. "Sono stati reclutati… Lavorano ancora con noi negli ultimi dieci anni."
Ha notato che le regolari conferenze BlueHat di Microsoft "portano gli hacker a Microsoft per incontrare la nostra gente, educare e intrattenere e rendere i nostri prodotti più sicuri". Nel 2012, il concorso BlueHat Prize di Microsoft ha assegnato oltre $ 250.000 a tre ricercatori accademici che hanno presentato innovazioni mai viste prima.
Taglie attuali
"Tre mesi fa abbiamo lanciato tre nuovi doni", ha detto Moussouris, "due dei quali sono ancora attivi". Durante i primi 30 giorni dell'anteprima di Internet Explorer 11, Microsoft offriva taglie ordinarie di bug. "Molti ricercatori si sono aggrappati, senza segnalare bug, in attesa del rilascio finale", ha osservato Moussouris. "Abbiamo deciso di incoraggiarli a presentare tali rapporti". Alla fine della durata di 30 giorni di quel programma, sei ricercatori avevano rivendicato ricompense di bug per un totale di oltre $ 28.000.
The Mitigation Bypass Bounty premia specificamente i ricercatori che scoprono un metodo di sfruttamento completamente nuovo. "Se non fossimo già a conoscenza della programmazione orientata al ritorno", ha dichiarato Moussouris, "quella scoperta avrebbe guadagnato $ 100.000". Non è nemmeno solo una ricerca "pie-in-the-sky". Un ricercatore che desidera rivendicare questa generosità deve fornire un programma di dimostrazione funzionale che dimostri la tecnica di sfruttamento.
"In passato c'erano solo tre modi in cui un'organizzazione poteva conoscere questi attacchi", ha osservato Moussouris. "In primo luogo, i nostri ricercatori interni avrebbero escogitato qualcosa. In secondo luogo, sarebbe comparso in una gara di sfruttamento come Pwn2Own. Terzo, e peggio ancora, sarebbe sorto in un attacco attivo." Ha spiegato che l'attuale programma di ricompense è disponibile tutto l'anno, non solo durante una competizione. "Se sei un ricercatore che vuole fare il bravo, che vuole proteggere le persone, ora c'è una taglia disponibile. Non devi aspettare."
E il vincitore è...
Moussouris stima che le scoperte abbastanza grandi da meritare una taglia avvengano solo ogni tre anni circa. La sua squadra fu sorpresa e lieta di trovare un degno destinatario a soli tre mesi dall'inizio del programma di ricompensa. James Forshaw, Responsabile della ricerca sulle vulnerabilità per la sicurezza delle informazioni sul contesto con sede nel Regno Unito, diventa il primo a ricevere la taglia di bypass di mitigazione.
In una e-mail a SecurityWatch, Forshaw ha detto questo: "La mitigazione del bypass di mitigazione di Microsoft è molto importante per aiutare a spostare l'attenzione dei programmi di ricompensa dall'offesa alla difesa. Incentiva i ricercatori come me a dedicare tempo e sforzi alla sicurezza in profondità piuttosto che semplicemente cercando il conteggio totale delle vulnerabilità ". Forshaw ha continuato, "Per trovare la mia voce vincente ho studiato le mitigazioni disponibili oggi e dopo il brainstorming ho identificato alcuni potenziali angoli. Non tutti erano vitali, ma dopo un po 'di perseveranza ho finalmente avuto successo."
Per quanto riguarda esattamente ciò che Forshaw ha scoperto, ciò non verrà rivelato immediatamente. Il punto è dare a Microsoft il tempo di mettere le difese prima che i cattivi facciano la stessa scoperta, dopo tutto!
