  |
Za poslednú hodinu: 111 meraní | ||||
|
inzercia |
|||||
 
neprihlásený 
| Nedeľa, 5. mája 2024, dnes má meniny Lesana |
|
Microsoft bude vyplácať vysoké odmeny za bezpečnostné chyby
Spoločnosť Microsoft, ktorej softvér je vzhľadom na svoju rozšírenosť častým terčom útokov hackerov a ktorý zároveň obsahuje vysoké množstvo bezpečnostných chýb, začne bezpečnostným expertom prvýkrát vyplácať odmeny za niektoré typy objavených chýb. Motivácia Microsoftu zmeniť svoj postup k odmeňovaniu za bezpečnostné chyby nie je jasná, spoločnosť ale pristúpila k vyplácaniu len niekoľko dní potom, ako ju agentúra Bloomberg obvinila zo zdieľania informácií o chybách pred ich opravením s americkou vládou.
Spoločnosť Microsoft, ktorej softvér je vzhľadom na svoju rozšírenosť častým terčom útokov hackerov a ktorý zároveň obsahuje vysoké množstvo bezpečnostných chýb, začne bezpečnostným expertom prvýkrát vyplácať odmeny za niektoré typy objavených chýb. Vysoký počet chýb obsahujú najmä Internet Explorer, ktorý je často vstupným vektorom pre infikovanie PC po návšteve nedôveryhodných stránok, a tiež celkovo operačný systém Windows. Doteraz Microsoft priamo za nahlásenie bezpečnostných chýb odmeny nevyplácal. V stredu ale oznámil tri nové programy vyplácania odmien za niektoré typy chýb a útokov respektíve exploitov. Odmeňované nebudú všetky typy bezpečnostných chýb. Najvyššiu odmenu až do 100 tisíc dolárov bude Microsoft vyplácať za nahlásenie nového spôsobu prekonania ochrán v jeho poslednej verzii Windows. Program začne platiť od budúceho týždňa a bude musieť ísť o techniky účinné vo Windows 8.1 Preview. V rámci tohto programu budú uznané len nové techniky, ktoré prekonávajú systémové ochrany ako Data Execution Prevention (DEP) a Address Space Layout Randomization (ASLR) a nie individuálne chyby. Práve takéto techniky hrajú ale dôležitú úlohu pri reálnom zneužívaní bežných bezpečnostných chýb v jednotlivých softvéroch, keď pre úspešné infikovanie systému musí byť zneužitie chýb spojené s niektorou z týchto techník. Bezpečnostný expert respektíve spoločnosť, ktorí nahlásia takúto techniku a získajú odmenu, budú môcť navyše dostať ďalšiu odmenu do výšky 50 tisíc za navrhnutie obranných mechanizmov proti tejto technike. V treťom programe odmien budú odmeňované kritické chyby v Internet Explorer 11 Preview, ktorý bude uvoľnený ako súčasť Windows 8.1 Preview budúci týždeň. Za najvážnejšie chyby umožňujúce vzdialené spustenie zvoleného kódu útočníkom bude vyplácaná odmena do 11 tisíc dolárov, za chyby menšej závažnosti odmeny od 500 dolárov vyššie. Prvé dva programy odmeňovania budú bežať trvalo, odmeny za chyby v IE 11 budú vyplácané len jeden mesiac do 26. júla. Odmeny nepochybne môžu motivovať mnohých bezpečnostných expertov, ktorí doteraz objavené chyby radšej ponúkali na predaj iným stranám, nahlasovať chyby Microsoftu. Podľa májových informácií Reuters sa na nákup exploitov v súčasnosti míňajú desiatky miliónov dolárov ročne a za exploity proti Internet Exploreru sa platí od 80 do 200 tisíc dolárov a vo Windows od 60 do 120 tisíc. Najväčším nákupcom má byť americká vláda. Na druhej strane Microsoft pristúpil k vyhláseniu nových programov len štyri dni od zverejnenia informácií agentúrou Bloomberg, podľa ktorých Microsoft americkej vláde poskytuje informácie o chybách pred ich opravením. Microsoft takéto poskytovanie priznal v rámci štandardných programov spolupráce určených napríklad pre antivírusové spoločnosti a podľa spoločnosti sú informácie určené na plánovanie obrany. Podľa Bloomberg ale Microsoft vládnym agentúram poskytuje informácie efektívne použiteľné aj na útoky proti počítačom so softvérom Microsoftu. Vzhľadom na načasovanie oznámenia nových programov je vysoko nepravdepodobné, že oznámené programy nesúvisia s publikovaním týchto informácií. Akú presne motiváciu mal Microsoft k vyhláseniu týchto programov a či sa prípadne obáva straty dôvery napríklad zahraničných bezpečnostných spoločností nie je známe. 
Poskytuje podľa Vášho odhadu Microsoft americkej vláde informácie o chybách pred ich zverejnením, ktoré jej umožňujú útočiť na PC? Necháva podľa Vášho odhadu spoločnosť vo svojom softvéri na tento účel úmyselné zadné vrátka? (hlasov: 223)
Najnovšie články: inzercia Diskusia:
Pridať komentár | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
| |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
