Microsoft offre 250.000$ ai futuri bug hunter

La scoperta di vulnerabilità hardware e software viene spesso effettuata da ricercatori di terze parti (non direttamente dai produttori o dalle software house), quindi molte aziende elargiscono premi in denaro in base alle complessità e pericolosità dei bug. Microsoft ha presentato un nuovo programma Bug Bounty che prevede premi fino a 250.000 dollari.

Lo Speculative Execution Bounty Programm, che rimarrà aperto fino al 31 dicembre 2018, prevede quattro livelli di attacchi che sfruttano l’esecuzione speculativa dei processori moderni, simili a quelli basati sulle famigerate vulnerabilità Meltdown e Spectre. La somma più alta (fino a 250.000 dollari) verrà consegnata ai ricercatori che scopriranno una nuova categoria di attacchi “side channel”, di cui Microsoft e altre aziende non sono a conoscenza.

Chi invece dimostrerà l’esistenza di vulnerabilità che permettono di eludere le mitigazioni di Microsoft Azure e di leggere i dati nella memoria delle macchine virtuali riceverà fino a 200.000 dollari. Stesso premio per i ricercatori che riusciranno ad effettuare attacchi “speculative execution” su Windows, nonostante le patch per Meltdown e la variante 1 di Spectre. L’ultimo livello prevede un premio fino a 25.000 euro per coloro che scopriranno metodi per sfruttare la variante 2 di Spectre su Windows 10 e Edge.

L’obiettivo del nuovo Bug Bounty Program è incentivare la ricerca delle vulnerabilità e coordinare la loro divulgazione dopo aver trovato la soluzione ai problemi. La tipologia degli attacchi basati sull’esecuzione speculativa richiede la collaborazione di tutti gli attori coinvolti.