许多大型软件公司都会向举报特定安全漏洞的第一人支付“漏洞赏金”。 赏金数额各不相同,但范围从轻拍到数千美元不等。 微软的缓解绕过赏金计划的运作水平更高。 为了获得100, 000美元的奖励,研究必须提出一种全新的利用技术,该技术可对最新版本的Windows有效。 这种发现很少见,但是,在宣布该程序仅三个月后,微软今天就颁发了首个10万美元的奖金。
合作史
我与微软可信赖计算小组高级安全策略负责人凯蒂·穆苏里斯(Katie Moussouris)谈了这个奖项以及微软与研究人员和黑客合作的历史。 穆苏里斯(Moussouris)大约六年半前加入安全战略家,但“微软在与研究人员和黑客接触方面已有悠久的历史,甚至在我之前还没有。”
穆苏里斯(Moussouris)以研究人员为例,他们发现了导致Blaster蠕虫病毒不断发展的漏洞。 她说:“微软高级官员在波兰拜访了他们。” “他们被招募了。在过去的十年中,他们仍在与我们合作。”
她指出,微软定期举行的BlueHat会议“将黑客带到微软与我们见面,进行教育和娱乐,并使我们的产品更加安全。” 2012年,微软的BlueHat奖竞赛向三位提出了前所未有的创新的学术研究人员颁发了超过25万美元的奖金。
目前的赏金
穆苏里斯说:“三个月前,我们推出了三个新的悬赏计划,其中两个仍在活跃。” 在Internet Explorer 11预览的前30天内,Microsoft提供了普通的错误赏金。 Moussouris指出:“许多研究人员一直在等待,而不是报告错误,而是等待最终发布。” “我们决定鼓励他们提交这些报告。” 在该计划的30天运行结束时,六名研究人员声称漏洞奖金总额超过28, 000美元。
缓解绕过赏金特别奖励发现了全新开发方法的研究人员。 穆苏里斯说:“如果我们还不知道面向收益的程序设计,那么这项发现将赚到10万美元。” 也不只是天上掉馅饼的研究。 想要索要赏金的研究人员必须提供有效的概念验证程序,以证明其开发技术。
穆苏里斯指出:“过去,组织只能通过三种方式了解这些攻击。” “首先,我们的内部研究人员会提出一些建议。其次,它会出现在像Pwn2Own这样的利用竞赛中。第三,甚至更糟的是,它会在主动攻击中浮出水面。” 她解释说,当前的赏金计划全年有效,而不仅仅是比赛。 “如果您是一个想玩得开心,想要保护人们的研究员,那么 现在 有一笔悬赏计划。您不必等待。”
最终获胜者是...
穆苏里斯(Moussouris)估计,足以赏金的发现仅每三年左右就会发生一次。 赏金计划开始三个月后,她的团队感到惊讶和高兴,他们找到了一个有价值的接收者。 英国Context Information Security漏洞研究负责人James Forshaw成为第一个获得缓解绕过赏金的人。
在给SecurityWatch的电子邮件中,Forshaw曾这样说:“微软的缓解绕过赏金计划对于将赏金计划的重点从进攻转移到防御非常重要。它激励像我这样的研究人员将时间和精力投入到深度安全上,而不仅仅是争取总的漏洞数量。” Forshaw继续说道:“为了找到我的获奖作品,我研究了当今可用的缓解措施,在集思广益之后,我确定了一些潜在的角度。并非所有角度都是可行的,但经过坚持不懈,我终于成功了。”
至于确切的Forshaw发现,那不会立即被揭露。 关键是要让微软有时间在坏蛋做出同样的发现之前建立防御措施!
