Microsoft lobt Belohnungen bis zu 100.000 Dollar für aufgedeckte Sicherheitslücken aus. Es folgt damit dem Beispiel von Google und anderen Unternehmen, die schon länger mit solchen Prämienprogrammen zu motivieren versuchen. Sicherheitsforscher fordern das seit Jahren; sie warfen Microsoft bisher vor, ohne eigene Beteiligung von den Bug-Bounty-Programmen anderer Firmen zu profitieren. Es bekam beispielsweise von Verisigns iDefense und der von HP initiierten Zero Day Initiative Schwachstellen in seiner Software gemeldet, die ihrerseits Belohnungen bis zu 10.000 Dollar auszahlten.
Der Softwarekonzern hatte zwar im letzten Jahr den Sicherheitspreis BlueHat für die Entwicklung kreativer Ideen für Abwehrmechanismen vergeben, aber selbst kein laufendes Prämienprogramm aufgelegt. Jetzt schwenkt er nicht nur um, sondern verspricht besonders hohe Prämien – und das sogar für Sicherheitslücken in Betaversionen.
Das BlueHat-Team Microsofts lädt „Freunde, Hacker, Forscher“ zur Teilnahme an den Prämienprogrammen ein, die am 26. Juni 2013 beginnen. Bis zu 100.000 Dollar winken für wirklich neuartige Exploit-Techniken, mit denen sich der Schutz der aktuellsten Betriebssystemversion (Windows 8.1 Preview) aushebeln lässt. Einen zusätzlichen Bonus von 50.000 Dollar soll es geben, wenn zugleich Ideen für eine bessere Abwehr ausgeführt werden. Bis zu 11.000 Dollar stellt Microsoft für kritische Schwachstellen in Aussicht, die die Preview von Internet Explorer 11 auf der aktuellsten Windows-Version (8.1 Preview) betreffen. Abhängig vom Erfolg dieser Prämienprogramme könnten weitere folgen und beispielsweise auch Azure, Office 365 und die Xbox-Live-Plattform betreffen.
„Das ist das Klügste, was wir machen können“, erklärte Katie Moussouris vom Microsoft Security Response Center (MSRC) gegenüber ZDNet.com. „Wir haben uns angesehen, was die Sicherheitsforscher tun, und eine Trendänderung bei den Meldungen festgestellt. Vor ein paar Jahren kamen die Forscher direkt zu Microsoft. Dahin wollen wir zurückkehren.“
Die Einbeziehung von Betaversionen begründete sie damit, dass die meisten anderen Organisationen das versäumten: „Wenn Vermittler Geld boten, dann berichteten die Forscher. Daher gab es während der Betaphasen keinen Anreiz für Berichte. Microsoft will diese Lücke füllen.“
[mit Material von Zack Whittaker, ZDNet.com]
Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…
Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…
Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…
