250.000 dollari da Microsoft per chi trova nuovi bug di sicurezza

250.000 dollari da Microsoft per chi trova nuovi bug di sicurezza

Microsoft ha aggiornato la sua strategia di caccia al bug con nuove regole specifiche per le tipologie di exploit sfruttate da Meltdown e Spectre. Il premio massimo è di ben 250 mila dollari

di pubblicata il , alle 13:21 nel canale Sicurezza
MicrosoftWindows
 

L'idea di Microsoft è di evitare che possano insorgere nuovi casi come Meltdown e Spectre, che hanno letteralmente scosso l'intero mercato dell'IT Security a inizio anno. Divulgate le vulnerabilità, Intel ha subito effettuato modifiche nel proprio programma di caccia al bug rimuovendo la necessità di ricevere un invito per poter partecipare, al fine di evitare l'insorgere di nuovi fenomeni simili. Un'idea che sembra essere piaciuta a Microsoft che, a breve distanza, ha annunciato le sue novità nel programma bug bounty. Fra queste, la possibilità di guadagnare fino a 250 mila dollari.

Nel caso di Microsoft le nuove regole sono specifiche per i bug relativi a problemi nella "speculative execution", ovvero le stesse meccaniche che rappresentano la base delle vulnerabilità Meltdown e Spctre. Un post sul blog ufficiale spiega dettagliatamente quali bug rientrano all'interno delle nuove regole per ricevere la ghiotta taglia: il ricercatore dovrà scoprire nuove tipologie di vulnerabilità sullo Speculative Execution Side Channel, o nuove tecniche per aggirare un fix già realizzato per un attacco della stessa categoria attaverso diversi canali.

Gli exploit scoperti da chi partecipa alla bug bounty ambendo al premio massimo devono essere del tutto nuovi, non devono essere conosciuti né divulgati dagli esperti. Inoltre le dimostrazioni dei partecipanti devono comprovare nuovi metodi di exploit che siano affidabili, con requisiti ragionevoli, devono avere un impatto considerevole, devono essere eseguibili sulle ultimi versioni dei software coinvolti, e devono utilizzare metodi mai descritti in ricerche di sicurezza precedenti. Devono quindi essere sconosciuti a Microsoft e ai partner.

Questi criteri sono necessari per ricevere la "taglia" massima, con Microsoft che potrà stabilire se elargire da 100 mila a 250 mila dollari in base alle analisi che verranno condotte internamente sull'exploit dimostrato. La società suddivide in quattro tier l'entità delle scoperte, con premi che partono da 5 mila dollari per la scoperta di modalità di attacco sui software di Windows 10 attraverso le vulnerabilità hardware già note. Indubbiamente una manovra ragionevole da parte di Microsoft, anche se in qualche modo necessaria per via della gravità delle falle scoperte ad inizio anno.

3 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Lampetto19 Marzo 2018, 13:40 #1
Sarebbe ottimo per alcuni hater di professione presenti in questo forum, guadagnare un bel po’ di soldi in modo onesto...anche se lo dubito fortemente...un hater è tale perché geneticamente è così, smentirebbe anche se stesso se le sue idee non sono in linea con il suo compito professionale di hater.
giovanni6919 Marzo 2018, 14:05 #2
Chissà quanto mette sul piatto la NSA...
Lampetto22 Marzo 2018, 13:06 #3
Originariamente inviato da: emiliano84
sara' per questo che google project zero e' cosi interessato a trovare falle di sicurezza su windows?


Beh, se fossi uno di Project Zero 250.000 non mi farebbero schifo...

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^