Szerző: Habók Lilla

2018. július 18. 13:00

Újabb bugvadász programot indít a Microsoft

Elindult a Microsoft Identity Bounty Programja biztonsági kutatók számára, hogy feltárják microsoftos termékek és szolgáltatás kapcsán az ügyfél-azonosítást, autentikációt érintő sérülékenységeket. A program 500 és 100 ezer dollár között fizet, de utóbbihoz a hibának nem csak fontosnak, hanem jól dokumentáltnak is kell lennie.

Nagyjából egy évvel ezelőtt kapott a teljes Windows bug-bounty programot, amely mellett most a Microsoft egy szűkebb, de nagyon fontos területet érintő bugvadászatot jelentett be. Az Identity Bounty Program kifejezetten a microsoftos oldalakra, szolgáltatásokra való felhasználói belépés során szeretné kiküszöbölni a lehetséges támogatásokat. Így azok az IT-biztonsági kutatók, akik hibát találnak az ügyfél-azonosító, autentikációs rendszerben, 500 és 100 ezer dollár közötti összegben részesülhetnek.

A program egyaránt tartalmazza a konzumer felhasználókat érintő Microsoft Account és vállalati környezetben működő Azure Active Directory azonosító megoldásokat. Tehát vonatkozik többek közt a windows.net, a microsoftonline.com, a live.com login-oldalaira. Továbbá a windowsazure.com azonosító oldalaira,valamint az iOS és androidos alkalmazások Microsoft Authenticator megoldásaira. A pontos lista erről és a program további részleteiről az Identity Bounty Program oldalán található.

Toxikus vezetők szivárványa

Az IT munkakörülményeket, a munkahelyi kultúrát alapjaiban határozzák meg a vezetők, főleg ha még toxikusak is.

Toxikus vezetők szivárványa Az IT munkakörülményeket, a munkahelyi kultúrát alapjaiban határozzák meg a vezetők, főleg ha még toxikusak is.

Azonban a Microsoft ezúttal nem csak a saját megoldásaiban talált hibákért ad jutalmat, hanem a kiterjeszti azt az implementált OpenID szabványokban rejtőző hibák felkutatására is, mivel mint Phillip Misner, a biztonsági csoport vezetője hozzátette a közleményben, a vállalat saját autentikációs technológiáinak a standard megoldások mellett kell működnie. Úgyhogy ennek eredményeképp a biztonsági kutatók az OpenID Connect Core, Discovery, Session megoldásokban, továbbá az OAuth 2.0 Multiple Response és az OAuth 2.0 Form Post Response kapcsán talált hibákért is pénzjutalomban részesülhetnek.

Részletes bejelentéseket várnak

A bejelentés kapcsán a Microsoft elvárja, hogy minél részletesebben bemutassa a hibát, azaz hogy a vállalat fejlesztői minél előbb meg tudják érteni és reprodukálni a jelenséget. A hiba lehet valamilyen korábban még nem jelentett sérülékenység a megadott azonosító oldalakon, illetve olyan módszer, amellyel át lehet venni az irányítást a Microsoft vagy az Azure Active Directory fiókok fölött. Ezenkívül lehet az OpenID szabványban talált sérülékenység, vagy pedig a microsoftos termékek, szolgáltatások, könyvtárak OpenID implementációjában talált hiba. Ezek kapcsán a leírásnak tartalmazni kell lépésről-lépésre hogyan reprodukálható a bug, milyen hatása lehet a rendszerre, és a támadás ki ellen irányulhat.

A legkevésbé egyébként az érzékeny adatok szivárgásának lehetőségeit éri meg jelenteni (maximum 5 ezer dollárért), míg legjobban a szabványok tervezésében fellelhető sebezhetőségek felderítéséért és a többfaktoros autentikáció megkerülésének bemutatásáért fizet a vállalat, amely már megérheti a cégnek a 100 ezer dollárt. A táblázat részletesen tartalmazza, hogy a hiányos és az átlagos minőségű beadványokért mennyit hajlandó adni, de a legjobban természetesen a részletes, minden körülmény figyelembe vevő, könnyen érthető és ez alapján gyorsan reprodukálható hibák bejelentésekért fizet - melynek kapcsán a minőséget maga dönti el.

microsoft_bug_bounty

Amennyiben többen is jelentik ugyanazt a hibát, akkor az első bejelentő kapja a pénzdíjat. Ha valaki elsőként jelent olyan sérülékenységet, amelyet a vállalat fejlesztői már ismertek, akkor az összeg 10 százalékát kapja. Ha viszont valaki egy duplikált hibajelentésben új adalékokkal szolgál, akkor ezért a cég különbözetet fizet. Azonban a program részletesen felsorolja a kivételeket is, hogy milyen esetekben nem ad jutalmat, mint például az automatizált eszközöktől beérkező jelentésekért vagy az Azure-ben szolgáltatott, de más cégek által fejlesztett szoftverekben talált hibákért.

Ebben az esetben is fennáll az a legfontosabb fontos kitétel, hogy a biztonsági kutató csak akkor kapja meg a pénzdíjat, ha a hibáról elsőként a vállalatot értesíti, és nem hozza nyilvánosságra máshol az észrevételét. Így ugyanis a vállalat lehetőséget kap minél előbb kijavítani a hibát, még mielőtt még nagyobb veszélybe sodorná felhasználóit a biztonsági réssel. A hiba megtalálója pedig tulajdonképpen azért kapja a fizetséget, hogy nem sodorja potenciális veszélybe a felhasználókat.

Nagyon széles az a skála, amin az állásinterjú visszajelzések tartalmi minősége mozog: túl rövid, túl hosszú, semmitmondó, értelmetlen vagy semmi. A friss heti kraftie hírlevélben ezt jártuk körül. Ha tetszett a cikk, iratkozz fel, és minden héten elküldjük emailben a legfrissebbet!

a címlapról