Vidéo: November Monthly Bonus Round Guide for Microsoft Rewards on Xbox - Earn 3 Achievements (Novembre 2024)
Supposons que vous soyez un éditeur de logiciels présent dans le monde entier. Une faille de sécurité dans l'un de vos produits qui permet aux malfaiteurs de voler des informations privées ou de contrôler à distance un ordinateur victime pourrait avoir des conséquences d'une portée considérable. Si quelqu'un découvre un tel trou, vous préféreriez de loin qu'il vous le dise plutôt que de vendre des informations sur le marché noir de la cybercriminalité, n'est-ce pas? Les programmes "Bug bounty" visent à encourager ce type de partage en récompensant les personnes découvrant des failles de sécurité par de l'argent, une renommée ou les deux, et elles sont plus courantes que vous ne le pensez probablement.
Des primes abondent
Le programme de prime aux bogues de Yahoo a fait les nouvelles plus tôt cette semaine. Un groupe de chercheurs suisses enquêtant sur le programme a commencé par rechercher trois bogues de script intersites sérieux sur les sites Web de Yahoo, des failles de sécurité qui pourraient permettre à un attaquant de s'emparer du compte de messagerie Yahoo de la victime. (Trouver ces insectes leur a pris environ une journée - effrayant!). Après avoir vérifié le rapport, Yahoo a proposé 12, 50 USD pour chaque bogue, échangeable contre un butin au magasin de la société.
Cette récompense semblait chintzy à beaucoup. La réaction de ce rapport a été suffisamment significative pour que Yahoo annonce un changement, quelque chose sur lequel ils travaillaient déjà. Le nouveau programme de primes pour les bogues récompensera les chercheurs qui signalent un bogue vérifié avec de l’argent, et non de la part d’un swag, d’un montant compris entre 150 et 15 000 dollars, le montant exact étant déterminé selon une formule claire et prédéfinie. Le nouveau programme devrait être en place d’ici la fin du mois, mais il sera rétroactif au 1 er juillet.
Vous pensez avoir trouvé un trou de sécurité qui pourrait valoir quelque chose? Le site Web de bugcrowd répertorie tous les programmes actuels de primes de bogues, en les séparant de ceux qui offrent une récompense, une célébrité plus un butin, une célébrité ou aucune récompense. Cliquez sur le lien d'un produit ou service donné pour accéder à sa page de reporting.
Facebook, par exemple, offre une prime minimum de 500 $, sans maximum prédéfini. En août, Facebook avait versé plus d'un million de dollars sous forme de primes.
Les paiements de Google pour les bogues vérifiés suivent un tableau de valeurs bien défini. Celles-ci vont de 100 USD pour une faille Web commune sur un site Google à faible priorité à 20 000 USD pour une vulnérabilité d'exécution de code à distance dans un service très sensible. En guise de signe, certains types reçoivent une récompense de 1337 $.
Microsoft est différent
Microsoft offre aux chercheurs 100 000 dollars, voire plus, pour des travaux renforçant la sécurité, mais il s'avère que le programme Microsoft n'est pas précisément une prime aux bogues. Katie Moussouris, stratège principale en sécurité chez Microsoft Trustworthy Computing, a expliqué la différence.
«La prime d’atténuation des avantages de Microsoft, d’une valeur de 100 000 dollars, oblige les participants à soumettre de nouvelles techniques d’exploitation contre notre dernière plate-forme Windows», a déclaré Moussouris, «pour que nous puissions améliorer nos défenses à l’échelle de la plate-forme. Ils nous aideront à protéger nos clients contre des classes entières d’attaques afin d’améliorer considérablement la sécurité, plutôt que de traiter une vulnérabilité à la fois. " Elle a conclu: "Nous encourageons les chercheurs à lire les directives de nos programmes de primes à l'adresse www.microsoft.com/bountyprograms et à envoyer leurs contributions à [email protected]."
Un chercheur qui non seulement signale une nouvelle technique d’exploitation, mais fournit également des idées de défense peut prétendre à un bonus BlueHat supplémentaire de 50 000 $. Et rappelez-vous, en 2012, Microsoft a versé plus d'un quart de million aux gagnants de son concours BlueHat Prize.
Il faut beaucoup d’expérience et une dose de génie pour prétendre à la récompense de Microsoft. La sécurité est souvent un jeu de chat et de souris, des criminels conçoivent de nouvelles attaques et les défenseurs répondent avec de nouveaux marqueurs à ces attaques. Venir avec de nouvelles techniques d'exploitation (et des défenses contre eux) avant les méchants met la défense en tête. En tant qu'utilisateur Windows, je salue les destinataires. Merci les gars!
