Microsoft difetti erano hacker’ di destinazione di scelta nel 2018
Ma una cosa semplice che può aiutare a fermare la stragrande maggioranza di questi attacchi, dicono i ricercatori.
Gli sviluppatori della popolarissima open-source, media player, VLC, hanno realizzato il progetto più grande patch dal suo lancio nel 2001, grazie ad un finanziati dall’UE bug bounty program.
Ma, nonostante il miglioramento della sicurezza mediante il bug di taglie, gli sviluppatori di VLC sono ambivalenti circa il reward-based modello, che li lasciò che fare con la “sicurezza usuali-stronzo”, “script kiddies” e truffatori, secondo il capo del gruppo dietro VLC sviluppo.
VLC è uno dei 14 progetti per ricevere bug bounty il sostegno della Commissione Europea dell’ultima edizione del Software Libero e Open Source di Audit (FOSSA) progetto, annunciato da stati Membri dell’UE del Parlamento Julia Reda dal Partito Pirata tedesco a fine 2018. Il programma supporta i progetti open-source, che sono ampiamente utilizzati all’interno della Commissione Europea.
Finora il programma ha attirato 309 segnalazioni di bug da parte dei ricercatori, di cui 130 sono state confermate le vulnerabilità di sicurezza. Un totale di 11 critiche e / o di elevata gravità bug sono stati scoperti.
Uno di quelli ad alta gravità bug è stato risolto nella versione di VLC 3.0.7, uscito venerdì scorso da VLC sviluppatori. Contiene le correzioni di 33 problemi di sicurezza, uno dei quali è un alto livello di gravità del difetto in un decodificatore MPEG libreria software utilizzato da VLC. La libreria non è più mantenuto.
Che sono incentrate sulla sicurezza release è un buon risultato per VLC utenti e, secondo Jean-Baptiste Kempf, un capo sviluppatore di VLC e presidente di VideoLAN, che è responsabile per VLC di sviluppo, è stato il più grande aggiornamento per la protezione, il progetto ha mai rilasciato.
VLC utenti devono eseguire l’aggiornamento alla versione 3.0.7 per evitare rischi per la sicurezza dal bug individuati attraverso il bug bounty.
Nonostante il vantaggio per VLC utenti, finanziato dall’UE, schema, Kempf opinioni personali circa il valore di bug bounty programmi rimane un “mixed bag”.
Egli descrive se stesso come un “grande critico” bug bounty, principalmente perché i programmi di dare i soldi per i ricercatori di sicurezza o “casuale hacker”, ma non il VLC progetto stesso, che è responsabile per risolvere il bug e la distribuzione di aggiornamenti per gli utenti.
Kempf ha detto VLC “ha dato grandi extra-bonus per le correzioni fornite, allo stesso tempo, come problemi che si trovano ad affrontare il problema delle risorse necessarie a fornire aggiornamenti di sicurezza.
In realtà, il bonus è parte della UE FOSSA finanziamento progettato specificamente per risolvere questo problema di risorse. I ricercatori che trovano bug possibile ottenere un 20% di bonus sulla base ricompensa se forniscono una correzione.
Oltre che per le sue riserve circa la struttura degli incentivi di bug bounty rispetto a progetti open-source, Kempf aveva alcune parole dure per il tipo di ricercatore tali programmi si attraggono. Ma anche belle parole per i ricercatori come ele7enxxh, che ha guadagnato più di €13,000 ($14,700) da VLC bug bounty da 13 valido problemi di sicurezza.
“Abbiamo avuto un sacco di diversi hacker, dalle migliori alle peggiori tecnicamente: tanti script-kiddies, e la gente ci dice che il VLC codice sorgente è visibile… ma anche gente che aveva una profonda conoscenza di C, della pila e di problemi di memoria”, scrive Kempf.
“Abbiamo avuto persone che vanno dalla solita sicurezza-buco del culo per alcuni dei ragazzi più belli di sempre, che ha curato profondamente per aiutare noi. E quando si lavora con le persone più belle, che spesso inviano patch per correggere troppo”, ha continuato.
Alcuni report, secondo Kempf, sono stati “più che di cattivo gusto, offensivo, impaziente” e alcuni hacker anche cercato di double-dip sui bug, segnalando lo stesso problema di VLC, come avevano segnalato a Google meglio finanziati Android bug bounty, che paga milioni di dollari ogni anno.
Ma Kempf ha fatto avere una risposta alla scammy giornalisti e una lezione per coloro che pensano solo a problemi tecnici materia nella segnalazione di vulnerabilità attraverso un bug bounty.
“Il risultato è che quando non sapete quanto è il premio per una questione di sicurezza (è medio o basso?), a decidere la gentilezza del giornalista,” ha scritto.
Di più su bug di sicurezza taglie
Microsoft: il Nostro bug bounty pagamenti per colpire $2m nel 2018 e stiamo offrendo più nel 2019GitHub bug bounty: Microsoft rampe pagamenti fino a $30.000-plusAndroid e Chrome bug bounty: Google svela quanto pagato nel 2018Microsoft lancia Azure DevOps bug bounty program, 20.000 dollari di premi in offertaUE per finanziare bug bounty programmi per 14 progetti open source a partire da gennaio 20197 bug bounty miti, sballato TechRepublicTesla software bug bounty sta andando a grandi campionati con Pwn2Own CNET
Argomenti Correlati:
Enterprise Software
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati