Το πρόγραμμα Bug Bounty της Microsoft, το οποίο ξεκίνησε το 2013 για να ενισχύσει την ασφάλεια των προϊόντων και υπηρεσιών της, έχει καταβάλει πάνω από 60 εκατομμύρια δολάρια σε χάκερς για την ανακάλυψη ευπαθειών, με 16,6 εκατομμύρια δολάρια μόνο στην τελευταία περίοδο αναφοράς.
Ωστόσο, το ερώτημα παραμένει: γιατί υπάρχουν τόσες πολλές ευπάθειες, συμπεριλαμβανομένων εκείνων που χρησιμοποιούνται σε επιθέσεις zero day, στον κόσμο των Windows;
Πώς πληρώνονται οι χάκερς από τη Microsoft χωρίς να παραβιάζουν τον νόμο
Οι απειλές ασφαλείας για τους χρήστες των πλατφορμών και υπηρεσιών της Microsoft, από τα zero-day των Windows μέχρι τις επιθέσεις κατάληψης λογαριασμού Microsoft, έχουν ένα κοινό: τις ευπάθειες.
Κάτι, κάπου, κρυμμένο στον κώδικα ενός προϊόντος ή ακόμα και στη ροή μιας υπηρεσίας, που μπορεί να αφήσει ανοιχτό ένα παράθυρο για χάκερς και κυβερνοεγκληματίες. Η ανακάλυψη αυτών των ευπαθειών πριν εκμεταλλευτούν από κακόβουλους δράστες είναι κρίσιμη για την προστασία των χρηστών.
Ο ρόλος των εξωτερικών ερευνητών ασφαλείας
Ο Tom Gallagher, αντιπρόεδρος μηχανικής στο Microsoft Security Response Center, δήλωσε στις 13 Μαρτίου ότι η ανακάλυψη και η γρήγορη εξάλειψη των ευπαθειών είναι πιο σημαντική από ποτέ.
«Το MSRC συνεργάζεται με τις ομάδες προϊόντων της Microsoft, καθώς και με εξωτερικούς ερευνητές ασφάλειας», ανέφερε ο Gallagher, «για να διερευνήσουν τις αναφορές ευπαθειών ασφαλείας που επηρεάζουν τα προϊόντα και τις υπηρεσίες της Microsoft».
Αυτοί οι εξωτερικοί ερευνητές, οι χάκερς, είναι συχνά επιλέξιμοι για πληρωμές στο πλαίσιο των ενισχυμένων προγραμμάτων bug bounty της Microsoft.
Η Microsoft ακολουθεί την αρχή της συντονισμένης κοινοποίησης ευπάθειας (Coordinated Vulnerability Disclosure – CVD), σύμφωνα με την οποία οι ερευνητές αναγνωρίζονται για τη δουλειά τους και δίδεται στη Microsoft η δυνατότητα να επιδιορθώσει τις αναφερθείσες ευπάθειες πριν οι κακοί δράστες τις εκμεταλλευτούν. Αλλά αυτό δεν είναι πάντα εφικτό και τότε οι zero-day επιθέσεις γίνονται επικίνδυνες.
Zero Day επιθέσεις και πώς συμβαίνουν
Μία zero-day επίθεση είναι μια ευπάθεια που δεν έχει ακόμη διορθωθεί. Όπως εξηγεί η Kate O’Flaherty, «ο όρος zero day προέρχεται από το γεγονός ότι η ευπάθεια είναι γνωστή στον προμηθευτή και δεν υπάρχει χρόνος (μηδέν ημέρες) για να εκδοθεί επιδιόρθωση». Για την Microsoft, αυτό είναι ένας αγώνας με το χρόνο για να εκδοθεί ένα patch προτού οι επιτιθέμενοι εκμεταλλευτούν την αδυναμία.
Η μαύρη αγορά των Zero Day επιθέσεων
Η σοκαριστική αλήθεια είναι ότι όχι όλοι οι χάκερς είναι κυβερνοεγκληματίες, αλλά όλοι οι κυβερνοεγκληματίες είναι χάκερς. Υπάρχουν χάκερς που συμμετέχουν σε προγράμματα bug bounty, αλλά υπάρχουν και άλλοι που ανακαλύπτουν ευπάθειες και, αντί να τις κοινοποιούν στις εταιρείες για χρήματα, τις πουλούν σε υψηλότερους αγοραστές, όπως κράτη ή οργανώσεις, που πληρώνουν τεράστια ποσά για να τις χρησιμοποιήσουν για επιθέσεις.
Αυτές οι «μαύρες αγορές» κάνουν τα προγράμματα bug bounty να μην μπορούν να εξαλείψουν πλήρως την απειλή των zero day επιθέσεων.
Ο ρόλος των προγραμμάτων Bug Bounty της Microsoft
Παρά το γεγονός ότι τα προγράμματα bug bounty δεν μπορούν να σταματήσουν πλήρως την απειλή των zero day εκμεταλλευμάτων, τα χρήματα που καταβάλλονται στους «καλούς» χάκερς της Microsoft δεν είναι χαμένα. Χωρίς αυτούς τους ερευνητές, θα υπήρχαν πολύ περισσότερες ευπάθειες zero-day και πολλύπερισσότερη ζημιά.
Είναι σημαντικό να κατανοήσουμε ότι οι προγράμματα bug bounty, όπως εκείνα της Microsoft και της Google, αποτελούν ένα σημαντικό εργαλείο για τη μείωση των απειλών ασφαλείας, αλλά μόνο η συνεχής συνεργασία μεταξύ των καλών χάκερς, των ερευνητών και των εταιρειών μπορεί να εξασφαλίσει ότι οι χρήστες θα παραμείνουν προστατευμένοι από επιθέσεις.
