Da Microsoft nuovo programma di caccia al bug con ricompense fino a 15 mila dollari

Da Microsoft nuovo programma di caccia al bug con ricompense fino a 15 mila dollari

Il programma è aperto a tempo indeterminato e copre l'intero sistema operativo Windows. Affianca gli altri programmi aperti e focalizzati su ambiti specifici

di pubblicata il , alle 17:21 nel canale Sicurezza
MicrosoftWindows
 

Microsoft ha annunciato un nuovo programma di caccia al bug che prevede ricompense fino a 15 mila dollari per chiunque riesca a trovare una vulnerabilità nel sistema operativo Windows, analizzando Windows Insider Preview.

E' dal 2013 che la società ha istituito programmi di caccia al bug, dove i ricercatori di sicurezza sono ricompensati se scoprono e segnalano falle sfruttabili da hacker criminali. Microsoft ha avviato nel corso degli anni una serie di progammi specifici focalizzati, ad esempio, sull'hypervisor Hyper-V, sulle tecnologie di difesa come DEP e ASLR e sul browser Edge.

Molti dei programmi sono a tempo e vengono attivati nella fase beta e di sviluppo del software, per essere poi terminati una volta che il software viene rilasciato pubblicamente. Si tratta di un metodo architettato per attirare l'attenzione dei ricercatori di sicurezza così da poter avere un'analisi minuziosa della robustezza del software prima che venga distribuito all'utente finale. Tuttavia il mese scorso il programma dedicato ad Edge ha rotto questa "tradizione", con Microsoft che ha deciso di estenderlo in maniera indeterminata.

Il programma annunciato oggi non va a sostituirsi a quelli specifici ma li affianca. Funzionerà infatti come una sorta di "asso pigliatutto" per l'intero sistema operativo: un ricercatore che individua e segnala falle che possono portare all'esecuzione di codice da remoto in Windows, accompagnando la scoperta con un proof of concept di alta qualità, potrà ricevere fino a 15 mila dollari di ricompensa.

I programmi specifici hanno ricompense più significative. Ad esempio la scoperta di un exploit per Hyper V che potrebbe consentire ad un attaccante di controllare una macchina virtuale per eseguire codice da remoto tramite l'hypervisor può consentire di ricevere una ricompensa fino a 250 mila dollari oppure una vulnerabilità che consente di scavalcare tutto l'arsenale delle tecniche di protezione e mitigazione può fruttare fino a 100 mila dollari.

2 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
bancodeipugni27 Luglio 2017, 18:40 #1
sono ricco
LukeIlBello28 Luglio 2017, 13:55 #2
io ne ho sgamato uno nel 2006, e l'ho pubblicato con tanto di PoC..
posso chiedere i soldi?

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^