Microsoft looft premies uit voor softwarelekken
De softwarereus maakte woensdag bekend dat het geldprijzen zal gaan uitloven voor gevonden bugs in een nieuw programma. Het wil zo sneller lekken in de eigen software kunnen opsporen, zodat cybercrminelen ze niet kunnen misbruiken.
Microsoft bood voorheen weliswaar geldprijzen tot 250 duizend dollar aan tijdens zijn BlueHat-hackwedstrijden, maar het had nog geen vastomlijnd project voor de beloning van eerlijke vinders.
“Dit is de slimste stap die we kunnen zetten”, zegt hoofd securitystrategie Katie Moussouris van Microsofts Security Response Center (MSRC) tegen ZDNet.
[related_article id=”161452″]
Banden aanhalen
“We hebben geëvalueerd wat onderzoekers aan het doen zijn en we zagen dat de trends in het rapporteren (van lekken) begonnen te veranderen. Een paar jaar geleden stapten de meeste onderzoekers nog rechtstreeks naar Microsoft en we willen dat weer in ere herstellen”, aldus Moussouris.
Het bijzondere aan het programma is dat Microsoft vooral wil dat onafhankelijke veiligheidsspeurders een kijkje nemen naar zijn bètasoftware, zoals de in aanbouw zijnde browser Internet Explorer 11 en Windows 8.1 (Blue), waarvan volgende week een eerste previewversie op het toneel zal verschijnen.
Er is volgens Microsft een goede reden voor die aanpak. Het bedrijf stelt dat de meeste veiligheidsbugs in IE 10 pas werden ontdekt nadat de definitieve versie werd uitgebracht. En veiligheidsonderzoeker konden dan alleen een beloning ontvangen via externe bemiddelingsbureaus.
“De meeste bemiddelingsbureaus bieden geen beloningen voor bètaversies”, zegt Moussouris. “Als die bureaus geld boden, kwamen onderzoekers naar voren om bugs te rapporteren, dus tijdens de bètafase was er geen aansporing om ze te melden. Microsoft wil dat gat opvullen”, zegt de Microsoft-medewerker.
Microsoft voorspelt bijvoorbeeld dat de meeste onthullingen zullen plaatsvinden tijdens de bètafase van IE 11, terwijl het product nog in handen is van een kleine groep onderzoekers en bètatesters.
De beloningen zullen worden uitbetaald in drie schalen. De eerste is een beloning voor ‘mitigation bypass’ en wordt uitgekeerd wanneer onderzoekers een echte nieuwe manier vinden om de ingebouwde beveiligingen te omzeilen.
‘Gaten in het schild’
Dit noemt Moussouris het ‘vinden van gaten in het schild’ en helpt Microsoft om betere bescherming te bouwen tegen nieuwe aanvalsklassen. De maximale beloning voor deze categorie is 100.000 dollar.
Dan is er de BlueHat Bonus for Defense, die meer mikt op verdediging dan de aanval. Als een onderzoeker een technische whitepaper indient die kan helpen om de beveiliging te verbeteren, kan hij tot 50.000 dollar verdienen.
Kritieke lekken opsporen
Tenslotte is er een beloning voor ‘kritische’ veiligheidslekken in softwareproducten, die kan oplopen tot 11.000 dollar per gevonden lek. Het programma gaat meteen van start met IE 11, dat ook in Windows 8.1 onderdeel van het meubilair zijn en daarom een geliefd doelwit voor crackers en criminelen.
Alle drie de programma’s gaan van start op 26 juni en zullen vanaf dan onderdeel uitmaken van de dagelijkse gang van zaken. Dat geldt echter niet voor bugjacht in de previewversie van IE 11, die een maand later eindigt op 26 juli.
Moussouris zegt dat de eerste twee categorieën vooral bedoeld zijn voor Microsfts desktopplatforms. “Maar we zien wel waar het programma ons mee naartoe neemt”, waarmee ze doelt op clouddiensten als Azure, Office 365 en Xbox Live.
Er is Microsoft veel aan gelegen om bugs zo snel mogelijk op te sporen, liefst nog voor een definitieve versie de fabriek uitrolt. Het kijkt daarom niet naar de achtergrond van de veiligheidsonderzoeker bij uitbetaling, ook niet als die toevallig bij een van Microsofts concurrenten werkt. “Als het akkoord is met je werkgever, kan elke onderzoeker deelnemen”, beaamt Moussouris.
Minderjarigen mogen meedoen
PayPal begin onlangs een flater toen het weigerde een jonge onderzoeker uit te betalen omdat hij nog geen 18 jaar oud was. Microsoft heeft daarom de leeftijd van deelname verlaagd naar 14 jaar, zodat ook jonge wizzkids kans houden op de beloningen.
“Als je tenminste 14 jaar oud bent, maar als minderjarige wordt beschouwd in je vestigingsland, moet je je ouders of voogd om toestemming vragen voordat je deelneemt aan dit programma”, staat in de voorwaarden te lezen.
Houd de ‘vijand’ te vriend
Microsoft werkt enerzijds aan een betere verstandhouding met de wereldwijde gemeenschap van veiligheidsonderzoeker. Anderzijds kun je die nieuwe aanpak beschouwen als een manier om de ‘vijand’ te vriend te houden.
Het eindresultaat is dat een groot gedeelte van de IT-gebruikers over de hele wereld kan werken met veiligere software, waardoor iedereen als winnaar naar huis gaat.