Na przestrzeni ostatnich tygodni Google kilkukrotnie zawstydził Microsoft, ujawniając informacje o niezałatanych podatnościach w aktualnych wersjach oprogramowania. By uniknąć powtórki z rozrywki i przy tym zadbać o większe bezpieczeństwo swoich usług, firma podwoiła nagrodę w organizowanym przez siebie programie tropienia błędów. Od 1 marca do 31 maja tego roku za zgłoszenie luki w zabezpieczeniach można będzie zgarnąć nawet 30 000 dolarów!
Taki model wyszukiwania usterek, choć może firmę wiele kosztować, znacznie przyspiesza proces tworzenia poprawek. Odkrywcy przesyłają zgłoszenia, Microsoft wypłaca nagrodę i ustala dla łatek odpowiedni priorytet. Nieco inaczej jest w bardziej klasycznych przypadkach, w których dobrze odnajdują się specjaliści z Google. Większość niezależnych odkrywców wyznacza dostawcom 3-miesięczne ultimatum. Jeśli producent nie wypuści w tym czasie łatki, wszelkie informacje o podatności zostają upublicznione. Nie trzeba chyba wspominać, że dla cyberprzestępców stanowi to idealną i niewymagającą wysiłku pożywkę.
Nagrody wyznaczono za ustalenie błędów w kilkunastu domenach, wliczając w to portal.office.com, outlook.office365.com, outlook.office.com, *.outlook.com oraz outlook.com, a także w kilkudziesięciu punktach końcowych. Rzecz jasna nie każdy, kto zgłosi jakąkolwiek usterkę, zostanie z miejsca obsypany złotem. Microsoft szuka przede wszystkim dziewięciu rodzajów błędów:
- Cross Site Scripting (XSS).
- Cross Site Request Forgery (CSRF).
- Nieautoryzowane ingerowanie w między-tenantowe dane lub dostęp (dla multi-tenantowych usług).
- Niezabezpieczone bezpośrednie odniesienia do obiektów.
- Podatności na wstrzyknięcie.
- Podatności związane z uwierzytelnianiem.
- Wykonanie kodu po stronie serwera.
- Eskalacja uprawnień.
- Znacząco błędna konfiguracja bezpieczeństwa (niespowodowana przez użytkownika).
Czy nagroda jest adekwatna do wykonanej pracy? Dla uczciwych badaczy i hobbystów - tak. Z drugiej strony nie stanowi to specjalnej zachęty dla Black Hatów, bowiem ceny za informacje o podatnościach Zero Day na czarnym rynku dochodzą nawet do 200 tys. USD. Zasady programu - Online Services Bug Bounty Terms - można znaleźć na stronie Microsoft Security TechCenter.