Microsoft опаздывает на вечеринку по поиску ошибок, а Oracle предпочитает не приходить вообще

Microsoft опоздала на вечеринку по поиску ошибок, но программа компании сейчас идет полным ходом.

Программы Bug Bounty, которые платят исследователям хорошие деньги за обнаружение брешей в безопасности программного обеспечения, восходят к 1990-м годам, когда первая программа была запущена фирмой, производящей веб-браузеры Netscape. Другие гиганты программного обеспечения, такие как Mozilla, Google и Yahoo!, последовали их примеру в 2000-х годах.

Но Microsoft, несмотря на то, что она является лидером в устранении уязвимостей программного обеспечения с ее ежемесячными обновлениями Patch Tuesday, не запускала программу вознаграждения за обнаружение ошибок до 2013 года.

В том же году Microsoft запустила ряд программ вознаграждения за обнаружение ошибок: одну для поиска обходных уязвимостей в своей платформе Windows, другую для обеспечения защиты от уязвимости Windows и третью для поиска недостатков в своем браузере Internet Explorer 11, который все еще в разработке в то время.

В следующем году Microsoft запустила программу поиска ошибок для своих онлайн-сервисов Office 365, а в прошлом году расширила эту программу, включив в нее свои облачные сервисы Azure. Кроме того, компания из Редмонда запустила программу Microsoft Edge Preview, которая охватила ее новый веб-браузер Windows 10 Edge, который тогда находился в разработке.

В октябре прошлого года Microsoft запустила программу вознаграждения за обнаружение ошибок в своей среде веб-разработки.NET, включая общедоступную техническую предварительную версию ASP.NET. И только в этом месяце Microsoft представила преемника этой программы для бета-сборок фреймворков.NET Core и ASP.NET Core RC2, которая продлится до сентября этого года.

Пару месяцев назад Microsoft запустила программу вознаграждений за техническую предварительную версию Nano Server, которая продлится до 27 июля 2016 года. Nano Server, вариант установки в Windows Server 2016, представляет собой серверную операционную систему с удаленным администрированием для центров обработки данных и частных облаков. «Эта новая награда будет добавлена к нашей текущей бета-версии Nano Server, онлайн-сервисам, обходу смягчения последствий и программам вознаграждений Bounty for Defense. Эти дополнения являются частью строгих программ безопасности Microsoft», — пояснил Джейсон Ширк, старший директор Microsoft Security Response Center, в своем блоге.

По словам Microsoft, вознаграждение за обнаружение ошибок для этих различных программ варьируется от 500 до 100 000 долларов за «действительно новые методы эксплуатации против средств защиты, встроенных в последнюю версию» Windows.

Программа Microsoft bug bounty вдохновила многих исследователей безопасности на поиск уязвимостей в ее продуктах. Например, в последнем обновлении «Вторник исправлений» китайский исследователь Ян Ю получил 50 000 долларов за обнаружение уязвимости, связанной с повышением привилегий, во всех версиях Windows, начиная с Windows 95. Оставленная без исправления уязвимость в системе безопасности может позволить злоумышленнику обойти сетевой брандмауэр и украсть сетевой трафик или подделать сетевой принтер или файловый сервер, сказал Юй Threatpost.

А в прошлом месяце независимый исследователь безопасности Киран Клаессенс заявил, что программа вознаграждения за обнаружение ошибок вдохновила его на обнаружение уязвимости в поддомене образования Microsoft, которая может дать злоумышленнику удаленный доступ к сайту.

Классенс смог найти уязвимость в загрузчике изображений в редакторе, чтобы создать страницу курса на сайте. Он сообщил Microsoft, которая выпустила патч, чтобы исправить это. «Я не получил за это никакого вознаграждения, так как это вышло за рамки, но я получил уведомление на странице благодарности Microsoft Security Research за апрель», — заметил он.

В то время как Microsoft обрела религию в отношении программ вознаграждения за обнаружение ошибок и белого хакерства в целом, не все крупные поставщики программного обеспечения согласны с тем, что платить исследователям за взлом их программного обеспечения — это лучшее использование их денег. Например, гигант корпоративного программного обеспечения Oracle не предлагает награду за ошибки. На самом деле, директор по безопасности Oracle Мэри Энн Дэвидсон считает, что хакеры в белых шляпах — это сборище «слабаков в сфере безопасности».

В сообщении в блоге 2015 года Дэвидсон обвинил исследователей безопасности в том, что они вызывают ненужную «массовую панику», раскрывая некоторые менее чем критические уязвимости с улавливающими именами, такими как POODLE и Shellshock.

Затем она написала еще один блог, предупредив клиентов, которые искали уязвимости в системе безопасности в программном обеспечении Oracle, о том, что они нарушают свое лицензионное соглашение на программное обеспечение (и косвенно сталкиваются с судебным иском). Этот блог был настолько спорным, что Oracle удалил его вскоре после того, как он появился в сети.

В этом сообщении в блоге (сохраненном Seclists.org) Дэвидсон написал: «Награды за обнаружение ошибок — это новый бойз-бэнд (красивая аллитерация, не так ли?). Многие компании кричат, падают в обморок и бросают нижнее белье в исследователей безопасности ****, чтобы найти проблемы. в своем коде и настаивая на том, что это путь, иди по нему: если вы не назначаете вознаграждение за обнаружение ошибок, ваш код небезопасен».

Она продолжила: «Ну, 87% уязвимостей безопасности мы находим сами, исследователи безопасности находят около 3%, а остальные находят клиенты… зачем мне тратить много денег на 3% проблемы (и не научившись уроки из того, что вы обнаружите, это на самом деле «убить кодового крота»), когда я мог бы потратить эти деньги на лучшую профилактику, например, о, нанять другого сотрудника для этического взлома, который мог бы разработать действительно хороший инструмент, который мы используем для автоматизации поиска определенных виды вопросов».

Так кто прав? Продавцы, которые предлагают вознаграждение за обнаружение ошибок, или те, кто этого не делает? В исследовании, опубликованном в этом месяце, компания Bugcrowd, которая запускает программы вознаграждения за обнаружение ошибок от имени небольших поставщиков программного обеспечения, обнаружила, что программы вознаграждения за обнаружение ошибок, похоже, успешны. В рамках своего второго ежегодного исследования вознаграждения за обнаружение ошибок (требуется регистрация по электронной почте) компания Bugcrowd изучила программы вознаграждения за обнаружение ошибок, работавшие с 1 января 2013 года по 31 марта 2016 года. Согласно исследованию, программы вознаграждения за обнаружение ошибок обнаруживают все более серьезные уязвимости, и компании выплачивать больше денег за ошибки, при этом средняя выплата увеличилась на 47 процентов по сравнению с прошлогодним отчетом.

Конечно, у Bugcrowd есть экономический стимул подчеркивать эффективность программ вознаграждения за обнаружение ошибок. Тем не менее, компания предлагает один из немногих всесторонних обзоров программ различных поставщиков и имеет сопоставимые годовые данные.

Получается, что все больше поставщиков выбирают программы вознаграждения за обнаружение ошибок и платят больше исследователям, потому что эти программы работают. Но, как заметил Ширк из Microsoft, эти программы должны быть частью всеобъемлющей стратегии поставщиков по поиску и устранению уязвимостей в системе безопасности, будь то собственными силами или с помощью сторонних исследователей в области безопасности.