Vídeo: Microsoft Edge: it's time to expect more from the web (Outubro 2024)
Muitas grandes empresas de software pagarão uma "recompensa por bug" à primeira pessoa que relatar uma falha de segurança específica. Os valores das recompensas variam, mas podem variar de um tapinha nas costas a milhares de dólares. O Mitigation Bypass Bounty da Microsoft opera em um nível distintamente mais alto. Para reivindicar a recompensa de US $ 100.000, uma pesquisa deve apresentar uma nova técnica de exploração eficaz contra a versão mais recente do Windows. Esse tipo de descoberta é bastante incomum e, no entanto, apenas três meses após o anúncio desse programa, a Microsoft fez hoje seu primeiro prêmio de US $ 100.000.
Uma história de cooperação
Conversei com Katie Moussouris, líder sênior de estratégia de segurança do grupo Microsoft Trustworthy Computing, sobre esse prêmio e sobre a história da Microsoft de trabalhar com pesquisadores e hackers. Moussouris ingressou cerca de seis anos e meio atrás como estrategista de segurança, mas "havia uma longa história de envolvimento da Microsoft com pesquisadores e hackers, mesmo antes do meu tempo".
Moussouris deu como exemplo os pesquisadores que descobriram a vulnerabilidade que alimentava o worm Blaster. "Altos funcionários da Microsoft os visitaram na Polônia", disse ela. "Eles foram recrutados… Eles ainda estão trabalhando conosco na última década."
Ela observou que as conferências regulares BlueHat da Microsoft "trazem hackers para a Microsoft para conhecer nosso pessoal, educar, divertir e tornar nossos produtos mais seguros". Em 2012, o concurso BlueHat Prize da Microsoft concedeu mais de US $ 250.000 a três pesquisadores acadêmicos que criaram inovações nunca antes vistas.
Recompensas atuais
"Três meses atrás, lançamos três novas recompensas", disse Moussouris, "duas das quais ainda estão ativas". Durante os primeiros 30 dias da visualização do Internet Explorer 11, a Microsoft ofereceu recompensas de bugs comuns. "Muitos pesquisadores esperavam, não relatavam bugs, aguardavam o lançamento final", observou Moussouris. "Decidimos incentivá-los a enviar esses relatórios". No final dos 30 dias de execução do programa, seis pesquisadores reivindicaram recompensas de insetos totalizando mais de US $ 28.000.
O Mitigation Bypass Bounty recompensa especificamente os pesquisadores que descobrem um novo método de exploração. "Se já não soubéssemos de programação orientada a retorno", disse Moussouris, "essa descoberta teria ganho US $ 100.000". Também não é apenas uma pesquisa do tipo torta no céu. Um pesquisador que deseja reivindicar essa recompensa deve fornecer um programa de prova de conceito que demonstre a técnica de exploração.
"Havia apenas três maneiras pelas quais uma organização poderia aprender sobre esses ataques no passado", observou Moussouris. "Primeiro, nossos pesquisadores internos sugeriram algo. Segundo, ele apareceria em um concurso de exploração como o Pwn2Own. Terceiro e, o pior, surgiria em um ataque ativo". Ela explicou que o atual programa de recompensas está disponível o ano todo, não apenas em uma competição. "Se você é um pesquisador que quer se divertir, que quer proteger as pessoas, há uma recompensa disponível agora . Você não precisa esperar."
E o vencedor é...
Moussouris estima que descobertas grandes o suficiente para merecer uma recompensa só acontecem a cada três anos. Sua equipe ficou surpresa e satisfeita ao encontrar um destinatário digno apenas três meses após o início do programa de recompensas. James Forshaw, chefe de pesquisa de vulnerabilidades da Context Information Security, com sede no Reino Unido, torna-se o primeiro a receber a recompensa de desvio de mitigação.
Em um e-mail para o SecurityWatch, Forshaw disse o seguinte: "O Mitigation Bypass Bounty da Microsoft é muito importante para ajudar a mudar o foco dos programas de recompensa de ofensa para defesa. Isso incentiva pesquisadores como eu a dedicar tempo e esforço à segurança em profundidade, em vez de apenas buscando a contagem total de vulnerabilidades ". Forshaw continuou: "Para encontrar minha participação vencedora, estudei as mitigações disponíveis hoje e, após o brainstorming, identifiquei alguns ângulos em potencial. Nem todos eram viáveis, mas depois de alguma persistência, finalmente obtive sucesso".
Quanto exatamente ao que Forshaw descobriu, isso não será revelado imediatamente. O objetivo é dar à Microsoft tempo para configurar as defesas antes que os bandidos façam a mesma descoberta, afinal!
