Microsoft открыла свою схему вознаграждения, которая предлагает вознаграждение в размере 100 000 долларов за новые методы обхода смягчения последствий, чтобы позволить большему количеству людей и организаций участвовать.
Программа Microsoft Mitigation Bypass Bounty действует с июня и, как сообщалось в прошлом месяце, уже выплатила более 128 000 долларов исследователям безопасности. Сейчас эта схема «развивается», чтобы расширить круг талантов, имеющих право на выплаты вознаграждений.
Делая объявление в блоге Blue Hat, старший стратег Microsoft по безопасности Кэти Муссурис сказала:
Сегодняшние новости означают, что мы переходим от приема заявок лишь от горстки людей, способных самостоятельно изобрести новые методы обхода защиты, к потенциально тысячам людей или организаций, которые обнаруживают атаки в дикой природе. Теперь и искатели, и первооткрыватели могут сдать новые методы за 100 000 долларов.
Физические лица и организации, которые заинтересованы в присоединении к расширенной программе, должны пройти предварительную регистрацию, отправив электронное письмо по адресу doa@microsoft.com и подписав соглашение. Перед отправкой заявки. Затем они будут иметь право на получение вознаграждения за обход защиты, которое предлагает до 100 000 долларов США за действительно новые методы эксплуатации против средств защиты, встроенных в Windows 8.1; и бонус BlueHat для защиты, дополнительные 50 000 долларов на защитные идеи, которые сопровождают подходящую заявку на обход защиты, включая технический документ, описывающий способ эффективного блокирования техники эксплуатации.
Объясняя этот ход, Муссурис говорит:
Эта эволюция наших программ поощрения предназначена для дальнейшего снижения уязвимости и использования рынков. В настоящее время черные рынки платят высокую цену за уязвимости и эксплойты на основе факторов, которые включают исключительность и долгий срок полезности, прежде чем поставщик обнаружит и устранит их. Расширяя нашу программу вознаграждений, Microsoft сокращает время, в течение которого эксплойты и уязвимости, приобретенные на черном рынке, остаются полезными, особенно для целевых атак, основанных на скрытой эксплуатации без обнаружения.
Попытка превратить злонамеренных хакеров в дружелюбных хакеров, похоже, является идеей, которую Microsoft в настоящее время использует более чем в одном направлении. Вместе с Facebook Microsoft запустила Hackerone, программу Internet Bug Bounty, которая предлагает вознаграждения за обнаружение дыр в безопасности в программном обеспечении с открытым исходным кодом, которое поддерживает функционирование Интернета. В этой программе вознаграждение составляет от 300 до 5000 долларов, хотя ее группа экспертов по безопасности, в которую входит Кэти Муссурис, может присудить более высокие награды в зависимости от характера ошибки.