Vídeo: URGENTE! Atualização do Windows Traz NOVO PROBLEMA, Veja Como Resolver!!! (Novembro 2024)
Digamos que você seja um editor de software com presença global. Uma falha de segurança em um de seus produtos que permita que bandidos roubem informações particulares ou controlem remotamente um PC vítima pode ter consequências de longo alcance. Se alguém descobrisse um buraco assim, você preferiria que eles lhe dissessem do que vender as informações no mercado negro de crimes cibernéticos, certo? Os programas de "recompensas por bugs" visam incentivar esse tipo de compartilhamento recompensando aqueles que descobrem falhas de segurança com dinheiro, fama ou ambos, e são mais comuns do que você imagina.
Recompensas abundam
O programa de recompensas por bugs do Yahoo divulgou notícias no início desta semana. Um grupo de pesquisadores suíços que investigou o programa iniciou a busca de três erros graves de script entre sites nos sites do Yahoo, falhas de segurança que poderiam permitir que um invasor assuma a conta de e-mail da vítima. (Encontrar esses insetos levou cerca de um dia - assustador!). Depois de verificar o relatório, o Yahoo ofereceu US $ 12, 50 por cada bug, resgatável por ganhos na loja da empresa.
Essa recompensa pareceu pouco para muitos. A reação deste relatório foi significativa o suficiente para o Yahoo anunciar uma mudança, algo em que eles já estavam trabalhando. O novo programa de recompensa de bugs recompensará os pesquisadores que reportarem um bug verificado com dinheiro, e não ganhos, em um valor de US $ 150 a US $ 15.000, com o valor exato determinado por uma fórmula clara e predefinida. O novo programa deve estar em vigor até o final deste mês, mas é retroativo para 1º de julho.
Acha que encontrou uma falha de segurança que pode valer alguma coisa? O site bugcrowd lista todos os programas de recompensas de bugs atuais, separando-os em programas que oferecem recompensa, fama mais ganhos, apenas fama ou nenhuma recompensa. Clique no link de um determinado produto ou serviço para visitar sua página de relatórios.
O Facebook, por exemplo, oferece uma recompensa mínima de US $ 500, sem um máximo predefinido. Em agosto, o Facebook pagou mais de um milhão de dólares em tais recompensas.
Os pagamentos do Google por erros verificados seguem uma tabela de valores bem definida. Eles variam de US $ 100 para uma falha comum da Web em um site do Google de baixa prioridade a US $ 20.000 para uma vulnerabilidade de execução remota de código em um serviço altamente sensível. Em um aceno para "falar leet", alguns tipos são recompensados com US $ 1337.
Microsoft é diferente
A Microsoft oferece aos pesquisadores US $ 100.000, ou mais, por um trabalho que aprimora a segurança, mas acontece que o programa da Microsoft não é exatamente uma recompensa por erros. Katie Moussouris, líder estrategista de segurança sênior da Microsoft Trustworthy Computing, explicou a diferença.
"A recompensa de desvio de atenuação de US $ 100.000 da Microsoft exige que os participantes enviem técnicas de exploração verdadeiramente novas à nossa plataforma Windows mais recente", disse Moussouris, "para que possamos melhorar nossas defesas em toda a plataforma. Novas técnicas de exploração são mais difíceis de encontrar do que vulnerabilidades individuais e aprendem sobre eles nos ajudarão a proteger os clientes contra classes inteiras de ataques para melhorar a segurança rapidamente, em vez de lidar com uma vulnerabilidade de cada vez ". Ela concluiu: "Incentivamos os pesquisadores a ler as diretrizes de nossos programas de recompensa em www.microsoft.com/bountyprograms e enviar seus envios para [email protected]".
Um pesquisador que não apenas relata uma nova técnica de exploração, mas também fornece idéias para defesa pode se qualificar para um bônus adicional BlueHat de US $ 50.000. E lembre-se: em 2012, a Microsoft pagou mais de um quarto de milhão aos vencedores do concurso BlueHat Prize.
É preciso muita experiência e uma dose de talento para se qualificar para a recompensa da Microsoft. A segurança costuma ser um jogo de gato e rato, pois os criminosos planejam novos ataques e os defensores respondem com novos contadores a esses ataques. Inventar novas técnicas de exploração (e defesas contra eles) antes que os bandidos o colocem na defesa. Como usuário do Windows, saúdo os destinatários. Obrigado rapazes!