Microsoft'un yeni programları, daha güvenli ürünler yapmaya yardımcı olan 'ödül avcılarını' cezbediyor
İnsanlar kod yazdığı sürece, kusurlu olacak. "Böcek avcıları" olarak bilinen güvenlik araştırmacıları sınıfı burada devreye giriyor ve Microsoft, güvenlik açıklarını yakalamak, bir programın savunmasını aşabilecek teknikleri keşfetmek ve hatta sorunlar için onarım önerebilecek teknikleri keşfetmek için birkaç yeni ödül programı aracılığıyla onlara 100.000 dolara kadar ödeme yapıyor.
Microsoft Güvenlik Yanıt Merkezi güvenlik topluluğu ve strateji başkanı ve kendi adını verdiği "hacker fısıldayıcısı" Katie Moussouris, "Müşterilerimizin korunmasına yardımcı olmak için hacker topluluğuyla çalışacak yeni programlar düşünmek benim işim", diyor.
Moussouris ve ekibinden gelen fikirlerden bazıları, uygulamalarda hata bulabilen ve Windows'ta yerleşik olarak bulunan savunmalarla gizlice giren teknikleri belirleyebilen güvenlik araştırmacılarını ve bilgisayar korsanlarını çekmek ve bir ürün henüz beta aşamasındayken bu değerli bilgiler için ödüllendirmek için yeni ödül programlarıdır, böylece halk kullanmadan önce düzeltilebilir.
Internet Explorer 11 Preview Bounty, San Francisco'daki Microsoft Build Developer Conference'ta Internet Explorer 11 Preview'un genel sürümünden bu yana 30 gün boyunca açık olduktan sonra 26 Temmuz'da kapandı. Bu program hataları raporlamaya odaklandı ve güvenlik açığının karmaşıklığına ve bulanların her hatayı değerlendirmekle görevli jüri ekibine sağlayabildikleri ayrıntı miktarına bağlı olarak 500 ila 11.000 $ arasında tutarlar ödedi. Moussouris, IE11'e özgü program için 20'den fazla başvuru aldıklarını söylüyor.
Diğer iki program, Microsoft Mitigation Bypass Bounty ve BlueHat Bonus for Defense, işletim sisteminin halka açık en son sürümünde yerleşik koruyucu sistemleri diz kapağına dizleyen gerçekten yeni bir sömürü tekniği için 100.000 dolara kadar ödemeye hazır (Windows 8.1 Preview, build'de de yayınlandı) ve bu sömürü tekniklerine karşı etkili savunmalar için 50.000 $ bonusa kadar ödemeye hazır. Moussouris, bu tür sorunları bulabilen araştırmacıların sayısının dünya çapında 1.000'den az olduğunu düşündüğünden, bu programlar için henüz bir başvuru yapılmadığını, ancak bunun şaşırtıcı olmadığını söylüyor. Yüksek ödemeler, azaltma atlamalarının yüksek değerini yansıtır: Güvenlik açıkları tek atışlık anlaşmalar olsa da ve hızlı bir şekilde düzeltilirken, saldırganlar birden fazla güvenlik açığına karşı bypass tekniklerini kullanabilir. Ödül programı bu güçlü teknikleri saldırganların elinden almak istiyor.
Neyse ki, bazıları bu hafta Las Vegas'taki Black Hat konferansında ortaya çıkabilir, bu da Microsoft standında Çarşamba ve Perşembe'yi yargılayan Live Mitigation Bypass Bounty'ye ev sahipliği yapacak.
Londralı 35 yaşındaki James Forshaw, birinin makinesi üzerinde uzaktan kontrole izin veren hatalara odaklandığı için 1.100 $ verilen ve bilgilendirilmiş bir IE11 Preview ödül alıcısıdır.
Ama Forshaw'a hacker deme, lütfen.
Context Information Security'de güvenlik açığı araştırmalarının başında ve eski bir yazılım mühendisi olan Forshaw, "Muhtemelen kendimi daha çok tamirci olarak görüyorum" diyor. "Hacker olduğumu söylüyorsan, bir şekilde kötüsün demek. Eğer bir hacker iseniz, çağrışım, sistemleri ele geçirmek isteyen kötü bir hacker olduğunuzdur." Forshaw profesyonel bir güvenlik araştırmacısı veya danışmanı olarak tanınmayı tercih eder.
Ama, "bir şeyleri kırmanın" kendi işi olduğunu kabul ediyor ve konuştuğunda, babası evlerine bir Atari 800 getirdiğinde, ilk kez bir "bilgisayar" ile karşılaştığında, onu sarmış olması gereken coşkuyu duyabilirsiniz. (Güvenlikle ilgili oyun konsollarına ilk girişleri.)
Forshaw bu ödül programlarının bir hayranıdır, çünkü sadece profesyonel itibarını değil, aynı zamanda şirketinin itibarını da genişletmenin harika bir yoludur. Özellikle müşterilerinin çoğu Microsoft ürünlerini kullandığından, bu işi yapabileceklerini ve müşterilerinin güvende olduğundan emin olabileceklerini gösterir. Şimdiye kadarki en büyük ödülü, CanSecWest güvenlik konferansında düzenlenen 2013 Pwn2Own yarışmasında alınan 20.000 $ oldu.
Moussouris, Forshaw'ın güvenlik araştırma topluluğunda tanıdık bir yüz olduğunu söyledi. "Etrafına baktığında kodu gören adamlardan biri gibi, sanki Matrix'te gibi."
Forshaw ödül programlarının duayeni olsa da Moussouris, Microsoft programlarının normalde bir ürün "beyaz pazar" brokerlerine satmak için önizleme aşamasını geçene kadar bekleyecek hata buluculara ulaşmak için harika bir fırsat olduğunu ve daha sonra Microsoft bunları düzeltene kadar bu tür hatalara karşı korumak için hizmet sattığını söylüyor. Bakan, boşluğun, üçüncü taraf brokerlerin satın almadığı ürünlerin beta aşamasında olduğunu söylüyor (beta kodu tanım gereği değişebilir olduğundan, hataları koruma hizmetleri için kötü bir yatırım haline getiriyor). Bu programlar, güvenlik araştırmacılarının bildiklerini daha erken ve doğrudan Microsoft'a açıklamaları için bir teşvik oluşturur.
Programın jüri üyelerinden Matt Miller, "Araştırmacıların yaptıkları araştırmalar için ödüllendirilmeleri için alternatif bir kanal oluşturmaya çalışıyoruz," diyor. "Dışarıda iyi bir araştırmacı vücudu olduğuna inanıyoruz."