جایزه 300 هزار دلاری مایکروسافت برای نفوذگران به Azure

شرکت مایکروسافت اعلام کرده است که آزمایشگاه امنیت Azure در یک محیط مجزا از فضای کاربران، امکان حمله به فضای ابری را برای محققان فراهم خواهد کرد.

در ماه ­های اخیر، مایکروسافت به شدت در تلاش است حفره ­های امنیتی فضای ابری Azure را پیدا کند. به همین دلیل اخیراً اعلام کرده به پژوهشگرانی که بتوانند آزمون­ های نفوذپذیری موفقی را بر روی این فضای ابری انجام دهند، 300000 دلار جایزه خواهد داد.

طبق گفته آزمایشگاه امنیت Azure، مایکروسافت یک محیط آزمایشی و اختصاصی را برای فضای رایانش ابری Azure راه‌اندازی کرده است. این پروژه منحصربه­ فرد، به پژوهشگران امنیتی این امکان را می­ دهد که سناریوهای حمله به سرویس ابری IaaS (زیرساخت به عنوان سرویس) را بدون آسیب رساندن به اطلاعات کاربران آزمایش کنند. این فضای آزمایشی، کاملاً از محیط Azure مربوط به کاربران مجزا است و همین مسأله دست محققان را در انجام آزمایش‌های بیشتر و تست اکسپلویت­ ها باز می‌گذارد.

Kymberlee Price، مدیر ارشد امنیت PM انجمن مایکروسافت، در پستی بیان کرده است که: «جداسازی محیط آزمایشی امنیتی Azure، این امکان را به پژهشگران می­ دهد که نه تنها بتوانند بر روی آسیب‌پذیری‌های Azure تحقیق کنند بلکه از این آسیب‌پذیری‌ها برای نفوذ به سیستم نیز استفاده کنند. برای این که متخصصان بتوانند با اعتماد به نفس کامل و کاملاً تهاجمی آزمایش ­های خود را انجام دهند، ما گروهی از افراد با استعداد را فراخوانده‌ایم تا شدیدترین حملات خود را در جایگاه مهاجمان سایبری، در محیط آزمایشی Azure که مجزا از مشتریان است پیاده‌سازی کنند».

در ازای یافتن باگ، دو برابر این جایزه پرداخت می‌شود!

شرکت مایکروسافت اعلام کرده است که علاوه بر آزمایشگاه امنیت Azure، جایزه را برای اشخاصی که آسیب‌پذیری‌های Azure را پیدا کنند دو برابر نیز خواهد کرد.

مایکروسافت قبلاً هم پروژه باگ ­گیری جدید را برای پیدا کردن نقص‌های Azure DevOps پیاده ­سازی و جایزه 20000 دلاری هم برای آن تعیین کرده بود. در حال حاضر، این غول نرم‌افزاری این جایزه را تا 40000 دلار افزایش داده است.

Azure DevOps یک سرویس رایانشی ابری است که در سال 2018 میلادی راه‌اندازی شد تا امکان همکاری برنامه ­نویسان را در طول چرخه توسعه نرم‌افزار فراهم کند. دو سرویسی که در پروژه باگ­ گیری قرار گرفته‌اند، عبارتند از سرویس‌های Azure DevOps (که در گذشته به آن Visual Studio Team Services گفته می‌شد) و آخرین نسخه‌های موجود از سرور Azure DevOps  و سرور Team Foundation.

این پروژه، آخرین پروژه باگ­ گیری است که توسط مایکروسافت آغاز شده است. این شرکت اعلام کرده است که در طول یک سال گذشته، مبلغی در حدود 4.4 میلیون دلار را صرف برنامه‌های مختلف یافتن باگ‌ کرده است.

در ماه جولای سال گذشته، مایکروسافت به یکی از پروژه ­هایی که قرار بود در ازای یافتن حفره‌های موجود در سرویس‌های شناسایی و پیاده‌سازی استانداردهای OpenID، مبلغ 100000 دلار پاداش دهد، پایان داده است. Microsoft Account و Azure Active Directory نیز که قابلیت‌های شناسایی و دسترسی به برنامه‌های کاربری و سازمانی را ارایه می‌دادند از این استاندارد استفاده می‌کردند.

مایکروسافت تمهیدهای لازم برای ارایه قانونی باگ‌ها را به روشنی اعلام کرده است تا محققان بدون نگرانی از مواجه شدن با پیامدهای قانونی، نسبت به گزارش باگ­ ها اقدام کنند.

Price همچنین گفته است که: «مایکروسافت متعهد شده فضای ابری ما از تهدیدهای جدید در امان خواهد بود. ما از ابتدای ساخت Azure امنیت را به عنوان یک عامل کلیدی در نظر داشته و تمام تلاش­مان را کرده‌ایم که فضای ابری کاربران را با محصولاتی همچون Azure Sentinel و Azure Security Center ایمن کنیم. در صورت وقوع رویداد امنیتی، مرکز عملیات دفاعی فضای ابری (CDOC) و تیم‌های امنیتی به سرعت آماده شناسایی، تحلیل و پاسخ به این تهدیدها خواهند بود».