Microsoft lobt Belohnungen bis zu 100.000 Dollar für aufgedeckte Sicherheitslücken aus. Es folgt damit dem Beispiel von Google und anderen Unternehmen, die schon länger mit solchen Prämienprogrammen zu motivieren versuchen. Sicherheitsforscher fordern das seit Jahren; sie warfen Microsoft bisher vor, ohne eigene Beteiligung von den Bug-Bounty-Programmen anderer Firmen zu profitieren. Es bekam beispielsweise von Verisigns iDefense und der von HP initiierten Zero Day Initiative Schwachstellen in seiner Software gemeldet, die ihrerseits Belohnungen bis zu 10.000 Dollar auszahlten.
Der Softwarekonzern hatte zwar im letzten Jahr den Sicherheitspreis BlueHat für die Entwicklung kreativer Ideen für Abwehrmechanismen vergeben, aber selbst kein laufendes Prämienprogramm aufgelegt. Jetzt schwenkt er nicht nur um, sondern verspricht besonders hohe Prämien – und das sogar für Sicherheitslücken in Betaversionen.
Das BlueHat-Team Microsofts lädt „Freunde, Hacker, Forscher“ zur Teilnahme an den Prämienprogrammen ein, die am 26. Juni 2013 beginnen. Bis zu 100.000 Dollar winken für wirklich neuartige Exploit-Techniken, mit denen sich der Schutz der aktuellsten Betriebssystemversion (Windows 8.1 Preview) aushebeln lässt. Einen zusätzlichen Bonus von 50.000 Dollar soll es geben, wenn zugleich Ideen für eine bessere Abwehr ausgeführt werden. Bis zu 11.000 Dollar stellt Microsoft für kritische Schwachstellen in Aussicht, die die Preview von Internet Explorer 11 auf der aktuellsten Windows-Version (8.1 Preview) betreffen. Abhängig vom Erfolg dieser Prämienprogramme könnten weitere folgen und beispielsweise auch Azure, Office 365 und die Xbox-Live-Plattform betreffen.
„Das ist das Klügste, was wir machen können“, erklärte Katie Moussouris vom Microsoft Security Response Center (MSRC) gegenüber ZDNet.com. „Wir haben uns angesehen, was die Sicherheitsforscher tun, und eine Trendänderung bei den Meldungen festgestellt. Vor ein paar Jahren kamen die Forscher direkt zu Microsoft. Dahin wollen wir zurückkehren.“
Die Einbeziehung von Betaversionen begründete sie damit, dass die meisten anderen Organisationen das versäumten: „Wenn Vermittler Geld boten, dann berichteten die Forscher. Daher gab es während der Betaphasen keinen Anreiz für Berichte. Microsoft will diese Lücke füllen.“
[mit Material von Zack Whittaker, ZDNet.com]
Check Point warnt vor offener Schwachstelle, die derzeit von Hackern für Phishing ausgenutzt wird.
Video-Babyphones sind ebenfalls betroffen. Cyberkriminelle nehmen vermehrt IoT-Hardware ins Visier.
Der Downloader hat hierzulande im April einen Anteil von 18,58 Prozent. Im Bereich Ransomware ist…
Unternehmen greifen von überall aus auf die Cloud und Applikationen zu. Dementsprechend reicht das Burg-Prinzip…
Hacker nutzen eine jetzt gepatchte Schwachstelle im Google-Browser bereits aktiv aus. Die neue Chrome-Version stopft…
Microsoft bietet seit Anfang der Woche einen Patch für die Lücke. Kaspersky-Forscher gehen davon aus,…
