Η Katie Moussouris, επικεφαλής στρατηγικής για την ασφάλεια, στο Resource Center της Microsoft (Microsoft Security Resource Center) ήδη βρίσκεται σε φάση ελέγχου περίπου μίας ντουζίνας από κενά ασφαλείας τα οποία διερευνούνται και τα οποία έχουν κατατεθεί από ερευνητές.
Η Katie Moussouris γράφει σχετικά: «Έχω ενημερώσει προσωπικά τον πρώτο παραλήπτη μέσω ηλεκτρονικού ταχυδρομίου για την υποβολή του πρώτου bug όσο αφορά στο Internet Explorer 11 Bug Bounty Preview το οποίο επιβεβαιώθηκε και επικυρώθηκε. Με λίγα λόγια, ο ερευνητής πληρώθηκε». Ακόμα πάντως η κ. Mousouris δεν έχει δώσει τα ονόματα ερευνητών στην δημοσιότητα, ούτε έχει γίνει λόγος για το ποσό πληρωμής (γνωρίζουμε ότι προσφέρονται από $11.000 ανά bug), ωστόσο από ότι φαίνεται υπάρχουν αρκετοί ακόμη ερευνητές ασφάλειας που αναμένεται να πληρωθούν για τις υπηρεσίες τους. Update: Ο πρώτος ερευνητής, είναι ο Ivan Frantic, ερευνητής ασφαλείας της Google.
Πάντως το Microsoft Security Resource Center, αναμένεται να δώσει στην δημοσιότητα τα ονόματα όσων ερευνητών συνεισέφεραν στην ασφάλεια του Internet Explorer 11 σε μία ειδικά σχεδιασμένη για αυτόν τον σκοπό ιστοσελίδα. «Μείνετε συντονισμένοι, γιατί έρχεται σύντομα» λέει η Moussouris.
Η Microsoft πάντως μπορεί να μοιραστεί μαζί μας δύο αποτελέσματα-κλειδιά:
- Λαμβάνουν όλο και περισσότερες παρατηρήσεις από ότι νωρίτερα. Μάλιστα, η Microsoft λαμβάνει περισσότερες εκθέσεις που αφορούν στην ασφάλεια στις πρώτες εβδομάδες των προγραμμάτων “bounty” από ότι λάμβανε κατά μέσο όρο σε ένα μήνα. Αυτό δείχνει ότι η στρατηγική για να λαμβάνουν περισσότερες αναφορές που αφορούν σε κενά ασφαλείας νωρίτερα από τις κυκλοφορίες των προϊόντων αποδίδει καρπούς.
- Επίσης η προσέλευση περισσότερων και νέων ερευνητών. Ερευνητές που σπάνια, ή ακόμα και ποτέ δεν θα απευθύνονταν άμεσα στην Microsoft, έχουν πλέον την επιλογή να μιλήσουν άμεσα με την εταιρεία. Η Microsoft ερμηνεύει αυτό το γεγονός ως απόδειξη ότι η στρατηγική να ακούει πλέον από ανθρώπους, που δεν είχε την δυνατότητα να ακούσει στο παρελθόν, αποδίδει καρπούς επίσης.
Όπως η Moussouris εξηγεί: “Η Microsoft ήταν έξυπνη για το πώς επέλεξε να προσεγγίσει την συγκεκριμένη αγορά εύρεσης κενών ασφαλείας (όσοι δεν γνωρίζατε ότι υπάρχει τέτοια αγορά, τότε μάθετε ότι… υπάρχει). Υπάρχει η μαύρη αγορά, όπου τα bugs της πρώτης μέρας (της μέρας της ανακοίνωσης της διάθεσης ενός προϊόντος, zero-day αλλιώς) λαμβάνουν τις υψηλότερες αμοιβές. Στην συνέχεια, έχουμε την γκρίζα αγορά, όπου μισθοφόροι εύρεσης κενών ασφαλείας βγάζουν πενταροδεκάρες, δίνοντας πληροφορίες για κενά ασφαλείας και πως μπορεί κάποιος να τα εκμεταλλευτεί σε εταιρείες ή ακόμα και σε εθνικά κράτη. Η Microsoft ακολούθησε μία διαφορετική προσέγγιση, επικεντρώνοντας την προσοχή της στην… λευκή αγορά, και στους white-hat bug hunters, οι οποίοι προσέγγιζαν την Microsoft απευθείας προσπερνώντας τα χρήματα που τους έδιναν από την εκάστοτε αγορά.”
Βεβαίως, υπήρξαν και κάποια θέματα… Όπως ότι η Microsoft παρατήρησε τους ερευνητές ή τους κυνηγούς κενών ασφαλείας, να κρατούν μυστικά κάποια κενά ασφαλείας για να αυξήσουν την αξία τους στις διάφορες αγορές, περιμένοντας την Microsoft να ανακοινώσει ότι είναι έτοιμη να βγάλει το επίμαχο προϊόν στην αγορά (Release to Manufacturing).
Η κ. Moussouris γράφει: «Δεν είναι το θέμα να προσφέρουμε τα περισσότερα χρήματα, αλλά να προσφέρουμε ελκυστικές αμοιβές σε στιγμές όπου δεν υπάρχουν πολλοί αγοραστές… Τοότι προσπαθούμε να είμαστε αυτοί που θα προσφέρουν την μεγαλύτερη αμοιβή, είναι μία σκακιστική κίνηση, και η αλήθεια είναι ότι παίζουμε σκάκι».
Να συμπληρώσουμε ότι η Google, πλήρωσε πάνω από $580.000 τα τελευταία χρόνια για 501 κενά ασφαλείας στον Google Chrome ενώ το Mozilla Foundation, πλήρωσε περίπου $570.000 για 190 κενά ασφαλείας στον Firefox την ίδια περίπου τρίμηνη περίοδο.
Σκεφτείτε τώρα πόσα γλυτώνουν οι εταιρείες λογισμικού από μία τέτοια στρατηγική, όταν θα πρέπει να πληρώσουν κατά μέσο όρο περίπου $100.000 τον χρόνο για ένα μόνο ερευνητή, που κοιτάει καθημερινά κώδικα στα εργαστήρια τους για την εύρεση κενών ασφαλείας!
Μπορείτε να διαβάσετε το πρωτότυπο άρθρο, εδώ.