El creador de Windows y Office ha revisado sus esquemas de bug-hunting con recompensas mejoradas, bonos y la adición de nuevos programas

Microsoft está usando en esta ocasión, la conferencia de Black Hat Hacker como un trampolín para desvelar un nuevo enfoque para los bug bounties.

Con el lanzamiento del último sistema operativo de Microsoft, la carrera comenzó para descubrir bugs ignorados y fallas del sistema que pueden poner en riesgo a los usuarios. El sistema operativo de Microsoft, junto con Flash y Java son blancos constante para los “hackers” debido a la popularidad y el uso del sistema.

Ahora que Windows 10 está disponible, es importante tentar a la mayor cantidad de investigadores posibles a presentar las posibles debilidades del sistema antes de que se vuelvan un problema de seguridad o sean lanzados en el mercado negro para su venta.

El arquitecto de seguridad de Microsoft, Jason Shirk, anunció cambios al programa de cazadores de bugs Redmond en la conferencia de Black Hat realizada en Las Vegas. En un blog publicado, Shirk dijo que el programa de Bug Bounty había sido modificado con muchos cambios.

Las recompensas para el Bounty for Defense, un premio por las ideas defensivas que acompañan una sumisión del Mitigation Bypass, han crecido de $50.000 a $100.000. Microsoft dice que esta alteración “eleva la defensa y en parte la ofensa” de la cual el gigante tecnológico ofrece la suma de hasta $100.000 por las hazañas de “truly novel” en contraposición del sistema operativo de Microsoft.

“Aprender sobre las técnicas de explotación previamente estudiadas, ayudaron a Microsoft a mejorar la seguridad por plazos, en lugar de capturar una vulnerabilidad a la vez como lo haría un bug bounty tradicional”  Declaró Microsoft.

El gigante tecnológico cree que el “novel defender” debe ser igualmente recompensado por su investigación.

Microsoft está poniendo más énfasis en combatir los defectos de autenticación de seguridad. Si un investigador encuentra una que sea vulnerable y lo presenta en internet a través de los programas de servicios de Bug Bounty entre el 5 de Agosto y el 5 de Octubre, sus recompensas serán el doble.

En otras palabras las debilidades de autenticación de Microsoft y Azure Active que sean detectadas en un periodo de dos meses pueden pagar la recompensa de hasta $30.000 en vez de los $500 a los $15.000 de Microsoft.

Finalmente, Redmond está añadiendo el RemoteApp a la lista de dominios cubiertos en el servicio en línea de Bug Bounty. La cual es utilizada para abrir aplicaciones de Windows alojadas en Azure en una variedad de dispositivos.

El 5 de agosto, Microsoft lanzó para Windows 10 su primer paquete de actualizaciones y correcciones que no están relacionadas con la seguridad. Oficialmente conocidas como KB3081424, aunque apodadas «Service Release 1», las actualizaciones se entregan a través de Windows Update e incluyen funcionalidad y correcciones confiables.