مایکروسافت در برنامه‌های شکار باگ، ۱۳/۷ میلیون دلار به متخصصان امنیت پرداخت کرده است

مایکروسافت می‌گوید در یک سال گذشته در مجموع به متخصصان امنیتی که در سرویس‌های شرکت، باگ کشف کرده‌اند، ۱۳/۷ میلیون دلار جایزه پرداخت کرده است. برنامه‌های شکار باگ مایکروسافت فرصت‌های درآمدزایی خوبی را برای متخصصان امنیت فراهم می‌کنند. متخصصانی که نرم‌افزارهای گوناگون را با هدف پیدا کردن آسیب‌پذیری‌های امنیتی مورد بررسی و تحلیل قرار می‌دهند، از جوایز این شرکت بهره‌مند می‌‌شوند که ظاهرا مبالغ قابل‌توجهی را هم پوشش می‌دهد. این متخصصان به‌جای سوءاستفاده از آسیب‌پذیری‌های کشف‌شده یا فروش آن‌ها به مجرمان سایبری یا سازمان‌های جاسوسی، باگ امنیتی را به شرکت اصلی گزارش می‌‌کنند تا نسبت به رفع آن اقدام‌های لازم را انجام دهد.

ردموندی‌ها در ۱۲ ماه گذشته تا ابتدای ماه ژوئیه امسال، ۱۵ برنامه‌ی شکار باگ اجرا کرده‌اند که در مجموع آ‌ن‌ها، ۱۳/۷ میلیون دلار به متخصصان امنیت پرداخت شده است. چنین رقمی سه برابر هزینه‌ی ۴/۴ میلیارد دلاری محاسبه می‌شود که در دوره‌ی مشابه ۱۲ ماه قبلی پرداخت شد. گروه Microsoft Security Response Center که مسئولیت‌های امنیتی و خصوصا بررسی آسیب‌پذیری‌ها را برعهده دارد، در پست وبلاگی با انتشار گزارش هزینه‌های ۱۲ ماه گذشته اعلام کرد که جوایز، به‌نوعی قدردانی از محققان امنیتی محسوب می‌شود که زمان و مهارت خود را برای پیدا کردن حفره‌های امنیتی نرم‌‌افزارها به‌کار گرفته‌اند.

آسیب‌پذیری‌هایی که در خلال برنامه‌های شکار باگ به مایکروسافت یا دیگر شرکت‌ها اعلام می‌شوند، بیش از همه منجر به کاهش آسیب‌پذیری‌های روز صفر می‌شوند. درواقع متخصصان امنیت در برنامه‌های شکار باگ، سرویس‌ها را پیش از عرضه‌ی عمومی بررسی می‌کنند تا در زمان عرضه، کمترین باگ امنیتی در آن‌ها وجود داشته باشد. اگر در زمان عرضه، باگ یا آسیب‌پذیری روز صفر در یک سرویس موجود باشد، مجرمان می‌توانند از همان ابتدا و پیش از عرضه‌ی بسته‌ی امنیتی ازسوی شرکت سازنده، از حفره‌های امنیتی سوءاستفاده کنند.

مجموع جایزه‌هایی که مایکروسافت در دوره‌ی ۱۲ ماهه‌ی گذشته به متخصصان امنیت پرداخت کرد، بیش از جوایز گوگل بود. اهالی مانتین ویو، در تقویم سال ۲۰۱۹ در مجموع ۶/۵ میلیون دلار جایزه در برنامه‌های شکار باگ پرداخت کرده‌اند. البته همین آمار ۶/۵ میلیون دلاری، دو برابر هزینه‌ای بود که گوگل در سال قبل در برنامه‌های شکار باگ پرداخت کرد.

هزینه‌هایی که مایکروسافت برای پیدا کردن آسیب‌پذیری‌های اساسی پرداخت کرده است، احتمالا ازلحاظ آماری به بهینه‌سازی و اصلاح نیاز خواهد داشت. گوگل گروه شکار باگی به‌نام Google Project Zero یا GPZ دارد که در گزارش اخیر خود، از سوءاستفاده از ۱۱ آسیب‌پذیری روز صفر در نیمه‌ی اول سال ۲۰۲۰ خبر دادند. ازطرفی مایکروسافت تنها در ماه مارس، ۱۱۵ آسیب‌پذیری را با بسته‌های امنیتی برطرف کرد. آمار دیگر نیز نشان می‌دهد که ردموندی‌ها چهار آسیب‌پذیری از ۱۱ مورد گزارش‌شده ازسوی GPZ را رفع کرده‌اند. از چهار آسیب‌پذیری مذکور، یکی به اینترنت اکسپلورر مربوط می‌شد و CVE-2020-0674 نام داشت و در ماه فوریه اصلاح شد. سه مورد دیگر نیز مربوط به سیستم مدیریت حافظه در ویندوز بودند.

آمارهای GPZ نشان می‌دهد از میان ۲۰ آسیب‌پذیری روز صفر سال ۲۰۱۹، ۱۱ مورد به محصولات مایکروسافت مربوط بوده‌اند. این آمار، تعداد آسیب‌پذیری محصول ردموندی‌ها را بالاتر از همه‌ی شرکت‌های دیگر، حتی گوگل قرار می‌دهد. البته گوگل در آمار خود می‌گوید شناسایی آسیب‌پذری در محصولات مایکروسافت کمی جانب‌دارانه است، چون به‌هرحال ابزارهای امنیتی بیشتری برای شناسایی باگ‌های ویندوز دردسترس قرار دارند.

مایکروسافت می‌گوید به‌خاطر اجرای ۶ برنامه‌ی جدید شکار باگ در سال گذشته و همچنین دو برنامه‌ی پشتیبانی تحقیقاتی، هزینه‌های شکار باگ افزایش پیدا کرده‌اند. برنامه‌های مذکور، حدود ۱۰۰۰ گزارش امنیتی معتبر را از ۳۰۰ متخصص برای مایکروسافت به‌ارمغان آورد. ردموندی‌ها همچنین می‌گویند سیاست‌های فاصله‌گذاری اجتماعی و قرنطینه‌های پی‌در‌پی، افزایش تحقیقات در حوزه‌ی امنیت سایبری را در پی داشته است. برنامه‌های شکار باگ مایکروسافت در دوره‌ی گذشته که منجر به پرداخت هزینه‌ی ۱۳/۷ میلیون دلاری شدند، شامل برنامه‌هایی برای شناسایی آسیب‌پذیری امنیتی در مایکروسافت داینامیکس ۳۶۵، آژور، مایکروسافت اج، ایکس‌باکس و سرویس‌های مشابه دیگر شرکت بودند.