Comments 18
Microsoft, которая с апреля 2020 года уменьшает награды исследователям по bug bounty
1) уменьшить награды за найденные баги
2) станут меньше искать баги
3) меньше будет багов - меньше надо фиксить
4) меньше надо фиксить - можно сэкономить на разработчиках и тестировщиках
5) PROFIT!
С таким подходом очень быстро вернёмся во времена когда зараженная винда было нормой, как и переустановка с полным форматирование раз в неделю...
как и переустановка с полным форматирование раз в неделю...
пффф.... для некоторых это и сейчас норма.
У меня складывается ощущение, что современная венда наполовину состоит из костылей безопасности. Причём высота этих костылей достигает поверхности Луны.
Может теперь руководство Microsoft задумается о правильности своих решений? Нет конечно. Репутационные потери не отражаются в финансовой отчётности, в отличии от выплат по bug bounty.
10К долларо за 0-day уязвимость... Это в отчетности не будет занимать больше чем кофе для сотрудников. Даже 100К ерунда для такой компании.
Вчера была озвучена конкретная сумма за 2020
В июле 2021 года Microsoft рассказала, что за последний год выплатила сторонним специалистам по безопасности и IT-экспертам около $13,6 млн в рамках 17 программ по поиску уязвимостей в своих программных продуктах и сервисах.
«Есть ложь, наглая ложь и статистика»
Суммарный доход жителей Верхнего Кукуева за 2020 год составил $984300 — сколько таких жителей? (Сколько уязвимостей открыто этими IT-экспертами?) Сколько получено максимально? Минимально? Какие значения 2, 9, 25, 50, 75, 91, 98 процентилей дохода (стандартная семёрка)? Или хотя бы 3 квартилей? Какой суммарный доход нижних и верхних 10%? Какой коэффициент Джини?
Насколько эксперты реально «сторонние», а насколько из прикормленных лавочек? Сколько уязвимостей относится к Windows, сколько к Office, сколько ко всяким Sharepoint или TFS? Кто оценивает важность каждой конкретной уязвимости, свои люди (с заведомым перекосом в сторону оправдания своих неудач) или есть какая-то хотя бы полунезависимая команда (хотелось бы — для фирмы такого всепланетного уровня значимости)?
Вопросы, вопросы… ответов нет и наверняка не будет…
Посмотрите на что я ответил. 13,6 млн уже ощутимо больше расходов на кофе. Но в этом случае аналогия неуместна, т.к. есть макс. цена за 0-day уязвимость (максимальная по выплатам) и если поделите 13,6 млн на неё, то можно сделать вывод сколько критичных проблем было найдено и сообщено за год, причём не сотрудниками MS (хотя, теоретически, они могут быть в сговоре c якобы нашедшими...). А если развить паранойю - то сколько ещё найдено и специально не сообщено.
Это если думать про MS как про идеально реализующими эти принципы. У меня нет причин им верить, как и результирующей статистике :))
> А если развить паранойю — то сколько ещё найдено и специально не сообщено.
Ну вот в том и дело, что для оценки отчётов такого рода от таких акторов — паранойя обязательна. А нам вместо этого дают не просто среднее по больнице — а какую-то антисимбиотическую Обстракцию. (Орфография намеренна, см. «Записки динозавра.»)
> Посмотрите на что я ответил. 13,6 млн уже ощутимо больше расходов на кофе.
По сравнению с десятками миллиардов оборота — ни о чём. И откуда вы знаете их расходы на кофе? ;)
Встроенный Defender справляется с выложенной на гитхаб программой.
Простому пользователю в домене его отключить весьма проблематично.
Вопрос к специалистам: он на сегодня способен поймать встроенные реализации эксплойта?
Разработчики зловредов начали использовать эксплойт на уязвимость нулевого дня Windows