Szétveri a biztonsági csoportját a Microsoft, aztán jutalmaz

A Microsoft bejelentette, hogy ezentúl az online szolgáltatásaiban feltárt sérülékenységek bejelentőit is jutalmazza. Eközben azonban szépen csendben felszámolja az egyik legmeghatározóbb biztonsági csoportját.
 

A Microsoft úgy határozott, hogy a jutalmazási rendszerét kiterjeszti az online szolgáltatásaira is. Ennek köszönhetően a biztonsági rések után kutató szakemberek már akkor is részesülhetnek pénzjutalomból, ha a vállalat valamely ismert, felhőalapú megoldásán találnak sebezhetőséget. A Microsoft közleménye szerint első körben az alábbi domainek alatt elérhető szolgáltatások esetében bejelentett sérülékenységekért jár fizetség:

portal.office.com
*.outlook.com
outlook.office365.com
login.microsoftonline.com
*.sharepoint.com
*.lync.com
*.officeapps.live.com
www.yammer.com
api.yammer.com
adminwebservice.microsoftonline.com
provisioningapi.microsoftonline.com
graph.windows.net

A jutalom nagysága - hasonlóan más ilyen jellegű programokhoz - elsősorban attól függ, hogy a feltárt sérülékenység mekkora kockázatot jelent. A minimális jutalmat 500 dollárban határozta meg a vállalat. Leginkább XSS (cross-site scripting) alapú támadásokra, jogosulatlan hozzáférésekre, authentikációs visszaélésekre, szerveroldali kódfuttatásokra és jogosultsági szint emelésre lehetőséget adó sebezhetőségekről szóló információkat vár. Ezek mellett kockázatot jelentő konfigurációs problémákra vonatkozó jelentéseket is befogad. 

Természetesen jutalom csak akkor jár, ha a hibabejelentő minden szabályt betart. Ezek közül a legfontosabb, hogy a kutatómunka során nem lehet olyan támadásokat indítani, amelyek a rendszerek megbénulásához vezethetnek, vagyis DoS/DDoS módszerek nem engedélyezettek. Emellett nem szabad más felhasználók profiljaival kísérletezni, a kutatók kizárólag saját maguk által létrehozott fiókokkal próbálkozhatnak. Ugyancsak tilos olyan módon támadásokat végrehajtani, amik a felhasználók vagy a Microsoft alkalmazottainak megtévesztésével, vagyis social engineering módszerek felhasználásával következnek be.

Megkurtított erőforrások

A Microsoft nemcsak olyan fejleményekről számolt be, amelyek pozitívan érinthetik a szolgáltatásainak biztonságát, hanem egy olyan lépésről is hírt adott, ami sokakat meglepett. A cég úgy határozott, hogy megszünteti a 2002-ben Bill Gates által felállított Trustworthy Computing (TwC) részleget. Az átalakítások feltételezések szerint összefüggésben vannak azzal, hogy a vállalat további 2100 alkalmazottjától kíván megválni, akik között a TwC egyes munkatársai is megtalálhatóak. Akiket pedig nem bocsát el, azok a cég jogi osztályának munkáját, valamint a felhőalapú és vállalati megoldások fejlesztésével foglalkozó csoportokat fogják támogatni. A Microsoft szerint ezzel a változtatással a TwC biztonsági szakemberei szorosabban együtt tudnak majd működni azokkal a divíziókkal, amelyek a felhőalapú megoldásokért és a biztonságért felelősek. A munkafolyamatok integrálásával pedig közvetlenül vehetnek részt a biztonsági és az adatvédelmi munkákban.

Scott Charney, Trustworthy Computing alelnöke magára vállalta a döntést, és úgy nyilatkozott, hogy ő tőle indultak a változások. Hangsúlyozta, hogy mindez nem azt jelenti, hogy a Microsoftnak csökkenne az elkötelezettsége a biztonság iránt. Éppen ellenkezőleg: e változások szükségesek ahhoz, hogy a számítástechnikát még megbízhatóbbá lehessen tenni. Eközben azonban az is kiderült, hogy a Microsoft a TwC által is használt egyik kutatóközpontját is bezárja a Szilícium-völgyben.