비디오: ë¤ì´ë ë´¤ë? ì°¨ì¸ë ì¤í 리ì§ì 'ì¬-íë¡ë¹ì ' (십월 2024)
많은 주요 소프트웨어 회사는 특정 보안 허점을보고 한 첫 번째 사람에게 "버그 현상금"을 지불합니다. 바운티 금액은 다양하지만 팻에서 수천 달러까지 다양합니다. Microsoft의 완화 우회 현상금은 분명히 더 높은 수준에서 작동합니다. 10 만 달러의 보상을 받으려면 연구에 최신 Windows 버전에 효과적인 새로운 악용 기법이 제시되어야합니다. 이러한 종류의 발견은 매우 드물지만이 프로그램을 발표 한 지 불과 3 개월 만에 Microsoft는 오늘 첫 $ 100, 000 상을 수상했습니다.
협력의 역사
저는 Microsoft Trustworthy Computing 그룹의 수석 보안 전략 책임자 인 Katie Moussouris와이 상과 Microsoft의 연구원 및 해커와의 협력 역사에 대해 이야기했습니다. Moussouris는 약 6 년 반 전에 보안 전략가로 합류했지만 "나도 전에도 마이크로 소프트가 연구원과 해커와 긴밀한 관계를 유지해 왔습니다."
Moussouris는 Blaster 웜에 영향을주는 취약점을 발견 한 연구원들을 예로 들었습니다. 그녀는 "마이크로 소프트 고위 관리들이 폴란드를 방문했다"고 말했다. "그들은 채용되었습니다… 그들은 지난 10 년간 우리와 함께 일하고 있습니다."
그녀는 Microsoft의 정기 BlueHat 회의에서 "해커를 Microsoft에 유인하여 직원을 만나고 교육하고 즐겁게하며 제품을보다 안전하게 만듭니다"라고 언급했습니다. 2012 년에 Microsoft의 BlueHat Prize 경연 대회는 전례없는 혁신을 경험 한 3 명의 학술 연구원에게 25 만 달러 이상을 수여했습니다.
현재 바운티
"3 개월 전에 우리는 3 개의 새로운 바운티를 시작했습니다." Internet Explorer 11 미리보기의 처음 30 일 동안 Microsoft는 일반적인 버그 바운티를 제공했습니다. Moussouris는“많은 연구자들이 버그를보고하지 않고 최종 릴리스를 기다리며 대기하고 있었다”고 말했다. "우리는 그 보고서를 제출하도록 장려하기로 결정했습니다." 이 프로그램의 30 일 실행이 끝나면 6 명의 연구원이 버그 바운티가 총 28, 000 달러 이상이라고 주장했습니다.
완화 우회 현상금은 완전히 새로운 착취 방법을 발견 한 연구원에게 보상합니다. Moussouris는 "복귀 지향 프로그래밍에 대해 아직 알지 못했다면 그 발견은 10 만 달러를 벌었을 것"이라고 말했다. 그것은 단지 하늘에서 보는 연구 만이 아닙니다. 이 현상금을 주장하려는 연구원은 착취 기법을 보여주는 실용적 개념 증명 프로그램을 제공해야합니다.
Moussouris는“과거에는 이러한 공격에 대해 조직이 배울 수있는 방법이 세 가지 밖에 없었습니다. "우리의 내부 연구원들은 무엇인가를 생각 해낼 것입니다. 둘째, Pwn2Own과 같은 착취 경연 대회에 나타날 것입니다. 그녀는 현재 바운티 프로그램이 경쟁이 아닌 연중 내내 이용 가능하다고 설명했습니다. "당신이 좋은 놀이를하고 싶어하고, 사람들을 보호하고 싶어하는 연구원이라면, 현재 사용할 수있는 현상금이 있습니다. 기다릴 필요가 없습니다."
그리고 승자는...
Moussouris는 현상금을받을만한 충분한 발견이 3 년마다 발생한다고 추정합니다. 바운티 프로그램이 시작된 지 3 개월 만에 그녀의 팀은 놀랍고 가치있는 수령인을 찾는 것을 기쁘게 생각했습니다. 영국의 상황 정보 보안 취약성 연구 책임자 인 제임스 포쇼 (James Forshaw)는 완화 우회 현상금을 처음으로 받았습니다.
Forshaw는 SecurityWatch에 보내는 이메일에서 다음과 같이 말했습니다. "Microsoft의 완화 우회 현상금은 현상금 프로그램의 초점을 공격에서 방어로 옮기는 데 매우 중요합니다. 이는 저와 같은 연구원들이 시간과 노력을 들이지 않고 보안에 깊이 관여하도록 장려합니다. 총 취약성 수에 노력하고 있습니다. " 포쇼는 계속해서 "내 우승작을 찾기 위해 현재 사용 가능한 완화 방법을 연구했으며 브레인 스토밍 후 몇 가지 잠재적 인 각도를 확인했습니다.
Forshaw가 정확히 발견 한 내용은 바로 공개되지 않습니다. 요점은 나쁜 사람들이 결국 같은 발견을하기 전에 Microsoft에 방어를 설정할 시간을주는 것입니다.
