250.000 dollari da Microsoft per chi trova nuovi bug di sicurezza
Microsoft ha aggiornato la sua strategia di caccia al bug con nuove regole specifiche per le tipologie di exploit sfruttate da Meltdown e Spectre. Il premio massimo è di ben 250 mila dollari
di Nino Grasso pubblicata il 19 Marzo 2018, alle 13:21 nel canale SicurezzaMicrosoftWindows
L'idea di Microsoft è di evitare che possano insorgere nuovi casi come Meltdown e Spectre, che hanno letteralmente scosso l'intero mercato dell'IT Security a inizio anno. Divulgate le vulnerabilità, Intel ha subito effettuato modifiche nel proprio programma di caccia al bug rimuovendo la necessità di ricevere un invito per poter partecipare, al fine di evitare l'insorgere di nuovi fenomeni simili. Un'idea che sembra essere piaciuta a Microsoft che, a breve distanza, ha annunciato le sue novità nel programma bug bounty. Fra queste, la possibilità di guadagnare fino a 250 mila dollari.
Nel caso di Microsoft le nuove regole sono specifiche per i bug relativi a problemi nella "speculative execution", ovvero le stesse meccaniche che rappresentano la base delle vulnerabilità Meltdown e Spctre. Un post sul blog ufficiale spiega dettagliatamente quali bug rientrano all'interno delle nuove regole per ricevere la ghiotta taglia: il ricercatore dovrà scoprire nuove tipologie di vulnerabilità sullo Speculative Execution Side Channel, o nuove tecniche per aggirare un fix già realizzato per un attacco della stessa categoria attaverso diversi canali.
Gli exploit scoperti da chi partecipa alla bug bounty ambendo al premio massimo devono essere del tutto nuovi, non devono essere conosciuti né divulgati dagli esperti. Inoltre le dimostrazioni dei partecipanti devono comprovare nuovi metodi di exploit che siano affidabili, con requisiti ragionevoli, devono avere un impatto considerevole, devono essere eseguibili sulle ultimi versioni dei software coinvolti, e devono utilizzare metodi mai descritti in ricerche di sicurezza precedenti. Devono quindi essere sconosciuti a Microsoft e ai partner.
Questi criteri sono necessari per ricevere la "taglia" massima, con Microsoft che potrà stabilire se elargire da 100 mila a 250 mila dollari in base alle analisi che verranno condotte internamente sull'exploit dimostrato. La società suddivide in quattro tier l'entità delle scoperte, con premi che partono da 5 mila dollari per la scoperta di modalità di attacco sui software di Windows 10 attraverso le vulnerabilità hardware già note. Indubbiamente una manovra ragionevole da parte di Microsoft, anche se in qualche modo necessaria per via della gravità delle falle scoperte ad inizio anno.
3 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoBeh, se fossi uno di Project Zero 250.000 non mi farebbero schifo...
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".