Kibővítette a jutalmazási programját a Microsoft

A Microsoft bejelentette, hogy mostantól az Azure-ban felfedezett biztonsági rések után is hajlandó fizetni, miközben már a Windows 10-ben megjelenő új böngészőjével kapcsolatos hibabejelentéseket is várja.
 

A Microsoft is azon vállalatok közé tartozik, amelyek bizonyos termékek, szolgáltatások esetében jutalmazzák azokat a kutatókat, akik első kézből jelentenek be sérülékenységeket a fejlesztőknek. A Microsoft ezúttal többek között az Online Services Bug Bounty Program által lefedett megoldásainak körét bővítette ki, amikor úgy határozott, hogy az Azure-t érintő biztonsági rések felfedezőinek munkáját is elismeri.
 
Az Azure bevonása a jutalmazási programba nem kis szó, ugyanis így a biztonsági közösségek figyelme gyakrabban fog ráirányulni a Microsoft számára kritikus fontosságú felhős szolgáltatásokra. Ezáltal pedig jóval több sebezhetőséget lehet majd megszüntetni még azelőtt, hogy azok nyilvánosságra kerülnének, és rossz kezekben visszaélésekre adhatnának módot. A Microsoft tehát pontosan érzi, hogy a cloud alapú szolgáltatásainak biztonságát etikus hackerek, biztonsági kutatók bevonásával is folyamatosan erősítenie kell.
 
A mostani bejelentés korántsem jelenti azt, hogy az Azure minden összetevője és szolgáltatása pénzdíj reményében vehető górcső alá. Első körben az Azure Cloud Services, az Azure virtuális gépek (VM), az Azure Active Directory és az Azure Storage kapcsán felfedezett sebezhetőségekért jár anyagi elismerés.
 
A Microsoft az Azure szolgáltatásokkal kapcsolatban jelzett sérülékenységekért 500-15.000 dollárt fizet attól függően, hogy éppen milyen veszélyességű sebezhetőségről sikerült lerántani a leplet. Természetesen pénz most is csak akkor jár, ha a biztonsági kutatók betartják a program részvételi feltételeit. Így például nem indíthatnak DoS támadásokat, vagyis nem csorbíthatják a szolgáltatások teljesítményét. Ami pedig talán a legfontosabb, hogy a biztonsági hibák kutatása során kizárólag erre a célra létrehozott, saját fiókokkal kísérletezhetnek, azaz más felhasználók adataihoz nem férhetnek hozzá, és nem veszélyeztethetik azokat.
 
"A Microsoft Online Services Bug Bounty Program Azure-ral való kiegészítése lehetővé teszi azt is, hogy az ügyfeleink célzott sérülékenység-vizsgálatokat hajtsanak végre a platformon belül. Amennyiben hibára akadnak, akkor jutalmazni fogjuk őket azért, hogy segítenek biztonságosabbá tenni az Azure-t" - nyilatkozta David B. Cross, az Azure Security igazgatója.
 
Böngészés hibák után

A Microsoft nem kizárólag az Azure esetében tartja fontosnak a sebezhetőségek utáni kutatást, hanem egyebek mellett már a Project Spartan kapcsán is. A Windows 10-ben helyet kapó vadonatúj webböngésző alkalmazást már úgy szeretné éles bevetésre küldeni, hogy az a lehető legkevesebb sérülékenységet tartalmazza. Ennek megfelelően maximum 15 ezer dollárt ajánlott fel azokért a hibákért, amelyek jogosulatlan távoli kódfuttatást vagy sandbox megkerülést tesznek lehetővé, illetve alapvető tervezési rendellenességekre vezethetők vissza. Fontos megjegyezni, hogy ez a jutalmazási lehetőség csak 2015. június 22-ig él.
 
A tét 100 ezer dollár

A Microsoft még tovább ment, és a Mitigation Bypass Bounty programját is kibővítette. Mostantól 100 ezer dollárt fizet azon sebezhetőségek bejelentőinek, akik súlyos problémákat tárnak fel a Hyper-V alapú környezetekben. Jutalom akkor jár, ha valaki olyan technikával, exploittal rukkol elő, amivel a hoszt és a vendég operációs rendszerek, illetve a vendég operációs rendszerek egymás közötti izolációját biztosító védelmi mechanizmusok válnak megkerülhetővé, áthatolhatóvá.