Microsoft lobt Belohnungen bis zu 100.000 Dollar für aufgedeckte Sicherheitslücken aus. Es folgt damit dem Beispiel von Google und anderen Unternehmen, die schon länger mit solchen Prämienprogrammen zu motivieren versuchen. Sicherheitsforscher fordern das seit Jahren; sie warfen Microsoft bisher vor, ohne eigene Beteiligung von den Bug-Bounty-Programmen anderer Firmen zu profitieren. Es bekam beispielsweise von Verisigns iDefense und der von HP initiierten Zero Day Initiative Schwachstellen in seiner Software gemeldet, die ihrerseits Belohnungen bis zu 10.000 Dollar auszahlten.
Der Softwarekonzern hatte zwar im letzten Jahr den Sicherheitspreis BlueHat für die Entwicklung kreativer Ideen für Abwehrmechanismen vergeben, aber selbst kein laufendes Prämienprogramm aufgelegt. Jetzt schwenkt er nicht nur um, sondern verspricht besonders hohe Prämien – und das sogar für Sicherheitslücken in Betaversionen.
Das BlueHat-Team Microsofts lädt „Freunde, Hacker, Forscher“ zur Teilnahme an den Prämienprogrammen ein, die am 26. Juni 2013 beginnen. Bis zu 100.000 Dollar winken für wirklich neuartige Exploit-Techniken, mit denen sich der Schutz der aktuellsten Betriebssystemversion (Windows 8.1 Preview) aushebeln lässt. Einen zusätzlichen Bonus von 50.000 Dollar soll es geben, wenn zugleich Ideen für eine bessere Abwehr ausgeführt werden. Bis zu 11.000 Dollar stellt Microsoft für kritische Schwachstellen in Aussicht, die die Preview von Internet Explorer 11 auf der aktuellsten Windows-Version (8.1 Preview) betreffen. Abhängig vom Erfolg dieser Prämienprogramme könnten weitere folgen und beispielsweise auch Azure, Office 365 und die Xbox-Live-Plattform betreffen.
„Das ist das Klügste, was wir machen können“, erklärte Katie Moussouris vom Microsoft Security Response Center (MSRC) gegenüber ZDNet.com. „Wir haben uns angesehen, was die Sicherheitsforscher tun, und eine Trendänderung bei den Meldungen festgestellt. Vor ein paar Jahren kamen die Forscher direkt zu Microsoft. Dahin wollen wir zurückkehren.“
Die Einbeziehung von Betaversionen begründete sie damit, dass die meisten anderen Organisationen das versäumten: „Wenn Vermittler Geld boten, dann berichteten die Forscher. Daher gab es während der Betaphasen keinen Anreiz für Berichte. Microsoft will diese Lücke füllen.“
[mit Material von Zack Whittaker, ZDNet.com]
Salesforce forciert den Ausbau seiner Industry Clouds. Mit ihrem Prozesswissen könnten deutsche IT-Dienstleister davon profitieren.
Bisher unbekannter Bedrohungsakteur versucht über gefälschte IP Scanner Software-Domänen Zugriff auf IT-Umgebungen zu erlangen.
Der Bericht zeigt bereits nutzbare Angriffsanwendungen und bewertet die Risiken, die davon ausgehen.
Deutsche sehen Finanzwesen und IT im Zentrum der KI-Transformation. Justiz und Militär hingegen werden deutlich…
Cubbit ist das weltweit erste Unternehmen, das Cloud-Objektspeicher anbietet. Es wurde 2016 gegründet und bedient…
Unbefugte können Schadcode einschleusen und ausführen. Auslöser ist eine fehlerhafte Implementierung einer Android-Funktion.
