کوئی سادہ بگ فضل نہیں ہے: مائیکروسافٹ ناول کے استحصال کی تکنیک کو انعام دیتا ہے

کہتے ہیں کہ آپ عالمی سطح پر موجود سافٹ ویئر پبلشر ہیں۔ آپ کی مصنوعات میں سے ایک میں سکیورٹی ہول جو خراب لوگوں کو نجی معلومات چوری کرنے یا کسی متاثرہ پی سی کو دور سے کنٹرول کرنے دیتا ہے اس کے دور رس نتائج برآمد ہوسکتے ہیں۔ اگر کسی کو اس طرح کا سوراخ دریافت ہوا تو ، آپ سائبر کرائم بلیک مارکیٹ میں معلومات بیچنے کے مقابلے میں اس کے بارے میں بتانا پسند کریں گے ، ٹھیک ہے؟ "بگ فضل" پروگراموں کا مقصد حفاظتی سوراخ دریافت کرنے والوں کو نقد ، شہرت ، یا دونوں کے ساتھ بدلہ دے کر اس قسم کی شیئرنگ کی حوصلہ افزائی کرنا ہے ، اور وہ اس سے کہیں زیادہ عام ہیں جس کا آپ کو ادراک ہوسکتا ہے۔

کثیر تعداد میں

یاہو کے بگ فضل پروگرام نے اس ہفتے کے شروع میں خبریں بنائیں۔ اس پروگرام کی تفتیش کرنے والے سوئس محققین کے ایک گروپ نے یاہو کی ویب سائٹوں پر تین سنگین کراس سائٹ اسکرپٹنگ کیڑے شکار کرکے شروع کیا تھا ، سیکیورٹی ہول جو حملہ آور کو متاثرہ یاہو کے ای میل اکاؤنٹ پر قبضہ کرنے کی اجازت دے سکتے ہیں۔ (ان کیڑے کو ڈھونڈنے میں انہیں قریب قریب ایک دن خوفناک لاحق ہوگیا)۔ اس رپورٹ کی تصدیق کے بعد ، یاہو نے ہر مسئلے کے لئے 50 12.50 کی پیش کش کی ، جو کمپنی کے اسٹور پر سویگ کے لئے قابل تلافی ہے۔

یہ انعام بہت سے لوگوں کو چھوٹا لگتا تھا۔ اس رپورٹ میں ردعمل کافی اہم تھا کہ یاہو نے تبدیلی کا اعلان کیا ، جس پر وہ پہلے سے کام کر رہے تھے۔ نیا بگ باؤنٹی پروگرام محققین کو جو نقد رقم کے ساتھ تصدیق شدہ بگ کی اطلاع دیتا ہے ، سوگ نہیں ، ایک واضح ، وضاحتی فارمولے کے ذریعہ درست رقم کا تعین کرنے والی $ 150 سے 15،000 $ تک کی رقم میں انعام دیتا ہے۔ نیا پروگرام رواں ماہ کے آخر تک ہونا چاہئے ، لیکن یکم جولائی تک اس کا تعصب ہے۔

سوچئے کہ آپ کو کوئی سیکیورٹی ہول مل گیا ہے جس کی قیمت کسی حد تک ہوگی؟ مسئلے والی ویب سائٹ میں تمام موجودہ بگ فضل پروگراموں کی فہرست دی گئی ہے ، جو ان کو الگ کردیتی ہیں جو انعام ، شہرت اور بدلاؤ ، صرف شہرت یا کوئی انعام نہیں پیش کرتے ہیں۔ اس کے رپورٹنگ صفحے کو دیکھنے کے لئے کسی دیئے گئے مصنوع یا خدمات کے ل the لنک پر کلک کریں۔

مثال کے طور پر ، فیس بک کم سے کم 500 of کا فضل پیش کرتا ہے ، جس میں پیش سیٹ زیادہ سے زیادہ نہیں ہے۔ اگست تک ، فیس بک نے اس طرح کے انعامات میں دس لاکھ ڈالر ادا کیے تھے ..

Google کی جانب سے تصدیق شدہ کیڑے کی ادائیگی اقدار کی ایک بہتر وضاحت شدہ جدول کی پیروی کرتی ہے۔ انتہائی حساس خدمات میں ریموٹ کوڈ پر عمل درآمد کے خطرے کو کم ترجیحی گوگل سائٹ پر عام ویب غلطی کے لئے ان کی قیمت $ 100 سے لے کر ،000 20،000 تک ہے۔ "لِٹ اسپیک ،" کرنے کے لئے کچھ قسمیں $ 1337 کے انعام کے ساتھ آتی ہیں۔

مائیکروسافٹ مختلف ہے

مائیکروسافٹ محققین کو سیکیورٹی میں اضافہ کرنے والے کام کے ل work ،000 100،000 یا اس سے بھی زیادہ کی پیش کش کرتا ہے ، لیکن اس سے پتہ چلتا ہے کہ مائیکروسافٹ پروگرام قطعی طور پر کوئی بگ فضل نہیں ہے۔ مائیکرو سافٹ کے قابل اعتماد کمپیوٹنگ کے لئے سینئر سیکیورٹی کے حکمت عملی کار رہنما ، کیٹی میسورس نے اس فرق کی وضاحت کی۔

"مائیکروسافٹ کے $ 100،000 تخفیف بائی پاس فضل نے شرکاء سے مطالبہ کیا ہے کہ وہ ہمارے جدید ترین ونڈوز پلیٹ فارم کے خلاف واقعی ناول استحصال کی تکنیک پیش کریں ،" موسورس نے کہا ، "تاکہ ہم اپنے پلیٹ فارم سے وسیع دفاع کو بہتر بنا سکیں۔ انفرادی خطرات اور اس کے بارے میں جاننے کے مقابلے میں نئی ​​استحصال کی تکنیکوں کو تلاش کرنا زیادہ مشکل ہے۔ وہ ایک وقت میں ایک ہی خطرے سے نمٹنے کے بجائے ، چھلانگوں سے سیکیورٹی میں بہتری لانے کے لئے گاہکوں کو حملوں کی پوری کلاسوں سے بچانے میں ہماری مدد کریں گے۔ " انہوں نے یہ نتیجہ اخذ کیا ، "ہم محققین کی حوصلہ افزائی کرتے ہیں کہ ہم اپنے فضلاتی پروگراموں کی ہدایات www.mic Microsoft.com/bountyprogram پر پڑھیں اور ان کی گذارشات [email protected] پر بھیجیں۔"

ایک محقق جو نہ صرف استحصال کی نئی تکنیک کی اطلاع دیتا ہے بلکہ دفاع کے لئے آئیڈیا فراہم کرتا ہے وہ $ 50،000 کے اضافی بلیو ہاٹ بونس کے اہل ہوسکتا ہے۔ اور یاد رہے ، 2012 میں مائیکرو سافٹ نے اپنے بلیو ہیٹ پرائزز مقابلے کے فاتحین کو دس لاکھ کا چوتھائی سے زیادہ رقم ادا کی تھی۔

مائیکروسافٹ کے انعام کے لئے کوالیفائی کرنے کے لئے بہت تجربہ اور ذی شعور کی گنجائش درکار ہے۔ سیکیورٹی اکثر بلیوں اور ماؤس کا کھیل ہوتا ہے ، فرقہ پرست نئے حملوں کا منصوبہ بناتے ہیں اور محافظ ان حملوں کے بارے میں نئے کاؤنٹرز کے ساتھ جواب دیتے ہیں۔ برے لوگوں کے دفاع سے پہلے ان کی حفاظت کرنے سے پہلے استحصال کی نئی تکنیک (اور ان کے خلاف دفاع) کے ساتھ کام کرنا۔ ونڈوز صارف کی حیثیت سے ، میں وصول کنندہ کو سلام پیش کرتا ہوں۔ شکریہ دوستوں!