Para muchos, Microsoft tiene un sistema operativo lamentable, todo lo hace mal, no sirve, etcétera, aunque viendo el derredor notemos que la mayoría de la gente usa Windows, que hay más software en cualquier nicho para esta plataforma, que para cualquier otra. Pero eso no importa, es algo así como “péguele al negro” y como “el negro” no se defiende, pues se dicen todo género de mentiras, medias verdades y una que otra verdad. Porque sí, Microsoft comete en ocasiones una cantidad de dislates que no se explican. Uno de ellos fue Zune, por ejemplo, su plataforma para música que jamás funcionó, que nunca compitió con el iPod y que finalmente, años y millones de dólares después, decidieron quitarla.
Y podríamos hablar de otros productos que dejan mucho que desear: Internet Explorer simplemente ha logrado una mala fama que quizás es exagerada, porque en realidad no es tan malo como lo pintan. Podría decir lo mismo de Windows Vista, que fue harto criticado en muchos medios, pero que en términos reales se convirtió en Windows 7 y ya nadie dijo nada.
Por ello, para todos aquellos que consideren que Microsoft hace todo mal, tienen ahora la oportunidad de demostrárselo y además, ganarse un buen dinero. La empresa de las ventanas ha lanzado un programa para cazar bugs, errores, cubriendo sus servicios en línea, empezando con Office 365. Las recompensas por errores demostrados empiezan en 500 dólares.
De hecho, Microsoft ya tenía un programa de recompensas de bugs, en donde podría pagar hasta 100 mil dólares por alguna novedosa técnica de explotación contra la protección construida en las nuevas versiones de sus sistemas operativos. Igualmente, hay unos 50 mil dólares por ideas defensivas contra ataques.
Ahora Microsoft ha extendido la idea de pagar por bugs y vulnerabilidades reportadas en sus servicios en línea, indicando: “Estar adelante del juego, identificando las técnicas para explotar nuestros servicios ampliamente usados, nos ayuda a que el cliente tenga un entorno más seguro”.
Los reportes de vulnerabilidades o errores que califiquen en esta iniciativa, serán elegibles para ganar mínimo 500 dólares. El criterio de la cantidad está a discreción de Microsoft en términos del impacto de la vulnerabilidad encontrada.
Los temas que pueden atacarse son:
- Cross Site Scripting (XSS)
- Cross Site Request Forgery (CSRF)
- Unauthorized cross-tenant data tampering or access (for multi-tenant services)
- Insecure direct object references
- Injection Vulnerabilities
- Authentication Vulnerabilities
- Server-side Code Execution
- Privilege Escalation
- Significant Security Misconfiguration
El programa se restringe a los siguientes dominios:
- portal.office.com
- *.outlook.com (Office 365 for business email services applications, excluding any consumer “outlook.com” services)
- outlook.office365.com
- login.microsoftonline.com
- *.sharepoint.com – excluding user-generated content
- *.lync.com
- *.officeapps.live.com
- www.yammer.com
- api.yammer.com
- adminwebservice.microsoftonline.com
- provisioningapi.microsoftonline.com
- graph.windows.net
Hay ciertas reglas para reclamar algún botín: Se deben crear cuentas de prueba. Se pide incluir la cadena “MSOBB” para identificar las cuentas de pruebas
Se prohiben y no entran en el concurso:
- Cualquier tipo de pruebas DoS (Denial of Service)
- Desarrollar pruebas automatizadfas que generen uso significativo de tráfico en la red
- Hacerse de datos de terceros, aunque sea para hacer pruebas
- Intentar ataques de phishing u otros métodos de ingeniería social contra los empleados de Microsoft
Parecen demasiados requisitos por 500 dólares quizás, pero caber recordar que esta es la mínima cantidfad ofrecida y además, la empresa tiene un buen registro de haber pagado sumas significativas para bugs críticos.
Referencias:
Bug Bounty Evolution: Online Services
Microsoft Bounty Programs