Video: Yunes ofrece un 1 mdp de recompensa por asesinos de mando policial (Noviembre 2024)
Muchas de las principales compañías de software pagarán una "recompensa por errores" a la primera persona que informe un agujero de seguridad en particular. Las cantidades de recompensas varían, pero pueden variar desde una palmada en la espalda hasta miles de dólares. La Mitigación Bypass Bounty de Microsoft opera a un nivel claramente superior. Para reclamar la recompensa de $ 100, 000, una investigación debe presentar una nueva técnica de explotación que sea efectiva contra la última versión de Windows. Este tipo de descubrimiento es bastante poco común y, sin embargo, solo tres meses después de anunciar este programa, Microsoft realizó hoy su primer premio de $ 100, 000.
Una historia de cooperación
Hablé con Katie Moussouris, líder principal de estrategia de seguridad para el grupo Microsoft Trustworthy Computing, sobre este premio y sobre la historia de trabajo de Microsoft con investigadores y piratas informáticos. Moussouris se unió hace unos seis años y medio como estratega de seguridad, pero "había una larga historia de Microsoft comprometiéndose con investigadores y hackers, incluso antes de mi tiempo".
Moussouris dio como ejemplo a los investigadores que descubrieron la vulnerabilidad que alimentaba al gusano Blaster. "Los altos funcionarios de Microsoft los visitaron en Polonia", dijo. "Fueron reclutados… Todavía están trabajando con nosotros durante la última década".
Señaló que las conferencias regulares de BlueHat de Microsoft "traen piratas informáticos a Microsoft para conocer a nuestra gente, educar y entretener, y hacer que nuestros productos sean más seguros". En 2012, el concurso del Premio BlueHat de Microsoft otorgó más de $ 250, 000 a tres investigadores académicos que presentaron innovaciones nunca antes vistas.
Recompensas actuales
"Hace tres meses lanzamos tres nuevas recompensas", dijo Moussouris, "dos de las cuales aún están activas". Durante los primeros 30 días de la vista previa de Internet Explorer 11, Microsoft ofreció recompensas por errores comunes. "Muchos investigadores esperaban, no informaban de errores, esperaban la liberación final", señaló Moussouris. "Decidimos alentarlos a enviar esos informes". Al final de los 30 días de ese programa, seis investigadores habían reclamado recompensas por errores por un total de más de $ 28, 000.
La mitigación Bypass Bounty recompensa específicamente a los investigadores que descubren un método de explotación completamente nuevo. "Si no supiéramos acerca de la programación orientada al retorno", dijo Moussouris, "ese descubrimiento habría ganado $ 100, 000". Tampoco es solo una investigación sencilla. Un investigador que quiera reclamar esta recompensa debe proporcionar un programa de prueba de concepto que demuestre la técnica de explotación.
"Solo había tres formas en que una organización podía aprender sobre estos ataques en el pasado", señaló Moussouris. "Primero, nuestros investigadores internos encontrarían algo. Segundo, aparecería en un concurso de explotación como Pwn2Own. Tercero, y lo peor, surgiría en un ataque activo". Ella explicó que el programa de recompensas actual está disponible durante todo el año, no solo en una competencia. "Si eres un investigador que quiere jugar bien, que quiere proteger a las personas, ahora hay una recompensa disponible. No tienes que esperar".
Y el ganador es...
Moussouris estima que los descubrimientos lo suficientemente grandes como para merecer una recompensa solo ocurren cada tres años más o menos. Su equipo estaba sorprendido y complacido de encontrar un receptor digno solo tres meses después de que comenzara el programa de recompensas. James Forshaw, Jefe de Investigación de Vulnerabilidad para la Seguridad de la Información de Contexto en el Reino Unido, se convierte en el primero en recibir la Recompensa de Bypass de Mitigación.
En un correo electrónico a SecurityWatch, Forshaw dijo lo siguiente: "La recompensa por omisión de mitigación de Microsoft es muy importante para ayudar a cambiar el enfoque de los programas de recompensa de la ofensiva a la defensa. Incentiva a los investigadores como yo a dedicar tiempo y esfuerzo a la seguridad en profundidad en lugar de solo luchando por el recuento total de vulnerabilidades ". Forshaw continuó: "Para encontrar mi entrada ganadora, estudié las mitigaciones disponibles hoy y después de una lluvia de ideas, identifiqué algunos ángulos potenciales. No todos eran viables, pero después de cierta persistencia finalmente tuve éxito".
En cuanto a lo que Forshaw descubrió, eso no se revelará de inmediato. ¡El objetivo es darle a Microsoft tiempo para establecer defensas antes de que los malos hagan el mismo descubrimiento, después de todo!
