마이크로 소프트, 해커들에게 미화 420 만 달러 지불

마이크로 소프트, 해커들에게 미화 420 만 달러 지불

Microsoft는 라스 베이거스에서 열린 Black Hat 2019 해킹 및 보안 이벤트가 시작될 때 지난 12 개월 동안 해커에게 440 만 달러 (360 만 파운드)를 지불했다고 발표했습니다. 또한, 자신감 있고 공격적인 해커가 자신이 충분히 어렵다고 생각하면 갈 수있는 새로운 도전을 제기했습니다.

Microsoft가 해커에게 돈을 지불 한 이유는 무엇입니까?
오늘날 대부분의 대기업은 서비스를 제공하든 소프트웨어를 중심으로하든 해커에게 재정적 인센티브를 제공하여 서비스에서 보안 취약점을 찾습니다. 이 버그 바운티는 알려진 바와 같이 조직과 해커 모두에게 윈-윈 시나리오입니다.

사이버 범죄자들이 이러한 취약점을 악용하기 전에 보안 문제에 대해 미리 파악한 후 수정하고 패치를 배포합니다. 보안 연구원은 암시장에서 취약점을 악용하거나 악의적으로 불법적으로 자신을 사용하는 대신 올바른 일을 수행 할 때 재정적 인센티브를받습니다.

보안 연구원, 해커 또는 사이버 범죄?
해커와 사이버 범죄자의 차이점을 이해하는 것이 중요합니다. 여기서 언어는 매우 중요합니다. 해커는이 토론과 관련하여 조사하거나 조사하고 컴퓨터 시스템 또는 소프트웨어 코드를 침입하여 보안 또는 개인 정보 보호에 영향을 미치는 취약점을 노출시키는 사람입니다.

사이버 범죄자는 악의적 인 의도로이 모든 일을 수행하는 사람인 반면, 해커는 사이버 범죄자가 조직과 일반 대중 모두의 악의적 활동으로부터 성공하고 보호하지 못하도록하는 동기 부여를하는 보안 연구원입니다.

다시 말해, 보안 연구원과 사이버 범죄자 모두 해킹에 관여하지만 보안 연구원 만 해커입니다. 범죄자들은 ​​그저 그런 것이므로 소환 될 필요가 있습니다.

Microsoft가 해커 지불을 확인하도록 유도 한 것은 무엇입니까?
Microsoft는 Azure Security Lab이라는 새로운 샌드 박스 환경의 출시를 발표 했으며 가장 재능있는 해커를 초대하여 "고객이 안전한 클라우드 환경에서 범죄 해커를 흉내 내기 위해 최악의 상황에 처하게했습니다"라고 초대했습니다.

MSRC (Microsoft Security Response Center)는 Azure Security Lab을 보안 연구원이 공격 시나리오를 테스트하는 동시에 Azure 고객과 안전하게 격리 할 수있는 전용 클라우드 호스트 세트라고 설명합니다. MSRC 발표에 따르면 "승인 된 지원자들은 인센티브가 추가 된 대상 시나리오를위한 분기 별 캠페인에 액세스 할 수있을뿐만 아니라 정기적 인 인정과 독점적 사기도있을 것"이라고 밝혔다.

Microsoft 해커는 얼마를 벌 수 있을까요?
새로운 발표에는 Azure 취약점에 대한 최고의 현상금 보상이 이제 $ 40,000 (£ 33,000)으로 이전보다 두 배나 높은 Azure를 "자신감 있고 공격적으로 테스트 할 수있는"사람들에게 제공하는 재정적 인센티브에 대한 세부 정보가 포함되어 있습니다.

그러나 취약점을 연구 할뿐만 아니라 취약점을 성공적으로 악용하는 해커에게 더 많은 정보가 제공됩니다. Azure Security Lab에 수용된 사용자는 " 시나리오 과제 "에 액세스하여 해커가 "고 가치 시나리오"를 탐색하도록 장려합니다.

예를 들어, 해커가 Azure Host DoS (서비스 거부) 공격을 실행하는 방법을 시연 할 수 있다면 얼마나 많은 돈을 벌 수 있습니까? $ 50,000 (£ 41,000)은 어떻습니까? 부족한? "고객 VM (가상 머신)에서 호스트 또는 다른 게스트 VM으로 탈출 할 수있는 기능적 악용을 입증 할 수있는 해커"는 30 만 달러 (247,000 파운드)를 지불 할 것으로 예상합니다.

그러나 경고가 있습니다. Microsoft는 이러한 종류의 보상에 대한 고품질 보고서를 기대합니다. 즉, Microsoft 엔지니어가 문제를 재현, 이해 및 해결하는 데 필요한 모든 정보를 제공해야합니다. "이것은 일반적으로, 어떤 필요한 배경 정보, 버그에 대한 설명 및 개념의 첨부 된 증거를 포함, 간결한 쓰기까지, 또는 비디오를 포함하는" 마이크로 소프트에 따르면 .

누구나 새로운 Microsoft 버그 현상금 프로그램에 참여할 수 있습니까?
누구나 Azure Security Lab에 가입하여 지금 신청할 수 있습니다. Windows 또는 Linux VM을 요청하려면 여기에 있는 적절한 양식 을 작성하면 됩니다 .

그러나 마이크로 소프트는 한 진술 "는 푸른 보안 연구소에서 사용할 수있는 호스트의 제한된 수의"단지가 있고 30 일 시험 기간에 가입 신청을 격려했다.