Posebne mete sada će zarađivati posebne nagrade.
Zero Day Initiative (ZDI) tvrtke Trend Micro traži od istraživača da se usredotoče na ranjivosti na strani poslužitelja putem novog dodatka nagrade za bugove.
Sigurnost
- 8 navika iznimno sigurnih radnika na daljinu
- Kako pronaći i ukloniti špijunski softver s telefona
- Najbolje VPN usluge: Kako se uspoređuju prvih 5?
- Kako saznati jeste li uključeni u povredu podataka -- i što učiniti sljedeće
U utorak je istraživačka inicijativa rekla da je ciljani poticajni program (TIP), novi dodatak već uspješan ZDI bug bounty program, ponudit će 1,5 milijuna dolara u "posebnim nagradama za određene mete."
Iako je ZDI objavio više od 600 sigurnosnih savjeta na temelju izvješća o nagradama za bugove samo ove godine, prema Brianu Gorencu, direktoru ZDI-ja Istraživanje ranjivosti, sada je vrijeme da počnemo usmjeravati istraživače "prema određenim područjima koja nas ili zanimaju ili poboljšavaju zaštitu za naše kupaca."
Tim posebno želi vidjeti više izvješća koja se odnose na ranjivosti kritične klase na strani poslužitelja -- i nadaju se da lansiranje TIP-a uzrokovat će porast kritičnih izvješća o ranjivostima koje utječu na sustave kao što su WordPress, Drupal i Microsoft IIS.
CNET: Facebook pokreće bug bounty program za prijavu kradljivaca podataka
Međutim, pravila dodavanja nagrada za bugove malo su drugačija. Posebna financijska nagrada dostupna je samo određeno vremensko razdoblje -- i bit će dodijeljena samo prvom uspješnom unosu.
Od 1. kolovoza istraživači sigurnosti mogu unositi izvješća za sustave na strani poslužitelja. ZDI se u početku želi prvenstveno fokusirati na open-source proizvode. Na primjer, istraživači do kraja listopada moraju zaraditi 35.000 dolara kako bi otkrili i prijavili kritičan slučaj ranjivost u WordPressu, a do kraja siječnja 2019. ako žele uloviti iskorištavanja koja utječu Microsoft IIS.
Vremenski okviri i nagrade za početne prijave u TIP programu su u nastavku:
"Prvi istraživač koji pruži potpuno funkcionalan exploit koji demonstrira daljinsko izvršavanje koda zarađuje puni iznos nagrade", kaže Gorenc. "Kad se preuzme nagrada, meta će biti uklonjena s popisa, a nova će se meta dodati na popis meta."
TechRepublic: Top 5: razloga zašto vam je potreban bug bounty program
Prijave moraju sadržavati potpuno funkcionalne eksploatacije, a ne samo izvješća o dokazu koncepta (PoC). Osim toga, važeće greške moraju biti ranjivosti nultog dana s kapacitetom da utječu na osnovni kod ciljeva.
ZDI je dodao da TPI unosi moraju iskoristiti ili ranjivost ili lanac grešaka kako bi se promijenio standardni put izvršenja program ili proces kako bi se omogućilo izvršenje proizvoljnih naredbi, zaobilazeći ciljnu obranu ublažavanja u postupak.
Ova izvršavanja koda mogu uključivati, ali nisu ograničena na, Data Execution Prevention (DEP), Address Space Layout Randomization (ASLR) i sandboxing aplikacije.
Vidi također: Hyperledger bug bounty program izlazi u javnost
Osim ako nije drugačije navedeno, lovci na bugove moraju prilagoditi svoju pretragu iskorištavanja najnovijoj, potpuno zakrpanoj verziji ciljanog softvera.
Do sada je ZDI rezervirao više od milijun dolara za nagrade, uključujući buduće ciljeve koji će biti u rasponu od 200.000 do 250.000 dolara.
"Bugovi na koje cilja ovaj program predstavljaju neke od dostupnih softvera koji se najčešće koriste i oslanjaju se na njih", kaže Gorenc. "Veselimo se što ćemo pronaći - i eliminirati - što je više moguće."
Izvješća podnesena TIP-u bit će predana na isti način kao Trend Microov trenutni program nagrada za bugove. Nakon što budu obaviješteni, dobavljači će imati 120 dana za rješavanje sigurnosnih nedostataka.
Osnovni vodič za ronjenje u mračnom webu
Prethodno i povezano izvješće
- Netflix traži od vas da počnete hakirati, bug bounty program je sada javan
- Intelov program nagrada za pogreške proširuje se s više nagrada
- Lovac na bugove otkriva DJI SSL, firmware ključevi su javni već godinama