0

Microsoft narobił błędów i… zapłacił 14 mln dolarów społeczności za ich odnalezienie

Współczesne systemy zrobiły się tak duże i skomplikowane, że coraz trudniej utrzymać ich wysoką jakość. Oczywiście, każda firma posiada rozbudowany dział QA, którego jedynym celem i zadaniem jest wczuć się w rolę upierdliwego i/lub gamoniowatego i/lub pedantycznego i/lub [tu wstawcie co chcecie] użytkownika. Mówiąc krótko, mają zepsuć system i znaleźć każdą lukę i błąd jaki […]

Współczesne systemy zrobiły się tak duże i skomplikowane, że coraz trudniej utrzymać ich wysoką jakość. Oczywiście, każda firma posiada rozbudowany dział QA, którego jedynym celem i zadaniem jest wczuć się w rolę upierdliwego i/lub gamoniowatego i/lub pedantycznego i/lub [tu wstawcie co chcecie] użytkownika. Mówiąc krótko, mają zepsuć system i znaleźć każdą lukę i błąd jaki istnieje. Niestety o ile przy testach stronki WWW czy naszego bloga jest to stosunkowo proste i łatwe, o tyle w przypadku np. Windowsa czy MacOS mówimy o wyprawie w kosmos. Po prostu nie da się przewidzieć wszystkich kombinacji i możliwości kliknięcia w guzik. Dodajmy do tego szczyptę ludzkiego lenistwa i niekompetencji i otrzymamy dzisiejszy mix. Dlatego właśnie trzeba iść w skalę i po to powstały programy takie jak Microsoft Bug Bounty.

Czym jest Microsoft Bug Bounty?

To specjalny program w ramach którego firma chce dać nam pieniądze za wyłapywanie luk, błędów i innych słabych punktów w systemach i sprzętach z logiem okienek. Jednak nie wystarczy powiedzieć, że ikonka się źle wyświetla. W końcu gdyby tak było to poszliby z torbami w pierwszym miesiącu. Chodzi o konkretny typ problemów, które mogą doprowadzić do narażenia naszego (użytkowników) bezpieczeństwa, które mogą doprowadzić do tego, że ktoś włamie się na nasz komputer. Są to obszary wymagające specjalistycznej wiedzy i nieszablonowego myślenia. Bitwa między firmami produkującymi zabezpieczenia, a osobami, które te zabezpieczenia chcą złamać przypomina wyścig zbrojeń dlatego Microsoft, oraz inne firmy, posiadają takie programy.

Co ważne, Bug Bounty to nie drobne na waciki. W przypadku wykrycia luki w zabezpieczeniach czy to systemu czy urządzenia, Microsoft wypłaci (w zależności od obszaru) od 50 do 250 tysięcy dolarów. Trzeba przyznać, że to sumka nad którą warto się pochylić.

Czy Bug Bounty działa?

Gdybym powiedział, że nigdy nie wątpiłem w to, że te programy to coś więcej niż pic na wodę to bym skłamał. Zawsze patrzyłem na nie przez pryzmat PR i sztucznego dbania o użytkowników. Oczywiście nie wątpiłem, że ktoś kasę od czasu do czasu dostaję, ale nie sądziłem, że jest to jakaś duża skala. No cóż, czas posypać głowę popiołem i zdzielić się z liścia w twarz, bo Microsoft podchodzi do tematu poważnie.

Gigant z Redmond opublikował podsumowanie ich działań z ostatnich 12 miesięcy w ramach programu Bug Bounty. Wygląda to imponująco, a równocześnie trochę strasznie. W ramach 15 inicjatyw nagrodzono 327 osób. W sumie zgłosiły one 1226 zagrożeń. Największa nagroda wyniosła aż 200 tysięcy dolarów, a sumarycznie Microsoft wypłaciło 13.7 miliona dolarów. WOW! Dla porównania dodam, że rok wcześniej suma nagród za odkryte słabe punkty wyniosła 4.4 miliona dolarów. Jak widać rok do roku skok ogromny.

No i co wy na to? Trzeba przyznać, że Bug Bounty działa i na pewno nie jest to to jedynie pic na wodę. Jednak gdy opadnie kurz zachwytu, ucichną syreny chwały, zaczynam dostrzegać pewien problem. Ci ludzie znaleźli ponad 1200 luk w zabezpieczeniach! Oczywiście nie wszystko dotyczy rzeczy z których większość z nas korzysta. Dla przykładu wspomniana nagroda $200.000 została przyznana w ramach obszaru Hyper-V hypervision, jednak ten detal uspokaja mnie tylko trochę.

Jakby nie patrzeć dobrze, że firmy wykładają kasę na takie rzeczy i że dbają o to, aby ich systemy były bezpieczne. Pytanie tylko ile z tych luk nie jest zgłaszanych, a są wykorzystywane. Tego się pewnie nigdy nie dowiemy.

grafika