蓝帽奖V1.0 – 获奖者揭晓…
作者: Katie Moussouris(高级安全策略师,MSRC安全社区与策略团队负责人)
发布日期: 2012年7月26日
阅读时间: 3分钟
随着首届蓝帽奖竞赛的落幕,我们想分享作为首家提供高额奖金鼓励防御性安全研究的主要厂商,在举办此次竞赛过程中的收获。我们不仅推动了技术缓解方案的开发,还实现了一些有价值的非技术目标。
本文将公布获奖名单,如果您迫不及待,请直接向下滚动查看。
额外收获 #1: 我们发现了可能从未接触过的安全防御人才,并帮助世界认识他们。
部分参赛者确实是安全研究社区的知名人士,但也有一些是我们此前从未听说过的人。举办蓝帽奖竞赛让我们深入了解更多在安全缓解技术领域进行深度思考的人才。这不仅帮助微软找到并与有才华的人合作,而且我们为所有参赛者提供的关注度有望帮助他们推广自己的创意和才华,从而使整个安全行业受益并进步。
额外收获 #2: 我们吸引了一些顶级的“攻击性安全”人才与我们一起致力于防御——取得了优异成果。
我经常说,一些最好的防御者来自安全等式的“攻击”方。我相信,只有真正理解如何侵入系统,才能设计出有效的防御计划。我们举办此次竞赛的目标之一是为安全防御研究领域创造前所未有的激励和成名致富的机会。我们非常高兴安全社区对我们的挑战做出了积极回应,一些优秀的人才选择参与。
在这些积极的额外成果基础上,我们不再等待,立即公布获奖者。关于获奖作品的深入技术分析及评审标准应用,请参阅Matt Miller在SRD博客上的文章。
- Vasilis Pappas 凭借其创意 kBouncer——一种高效且完全透明的ROP缓解技术,赢得 20万美元。
- Ivan Fratric 凭借其创意 ROPGuard——一种可在运行时检测和防止当前使用的面向返回编程(ROP)攻击形式的系统,赢得 5万美元。
- Jared DeMott 凭借其创意 /ROP——一种降低地址空间泄露影响并缓解已知ROP漏洞利用的系统,赢得价值 1万美元的MSDN订阅,并在现场惊喜获得 1万美元现金支票。
那么,蓝帽奖的下一步是什么?
请在接下来的几周内查看蓝帽奖网站,更新后的页面将包含其他参赛作品的信息。这些优秀的人才都值得安全社区的感谢和关注,我们很高兴为他们提供一个展示防御性安全创意的平台。
有一件事是确定的——微软将继续投资于安全防御,并将继续为安全社区提供现金激励,以帮助微软和整个行业改善整个生态系统的安全状况。在体育和生活中,一支优秀的团队既懂进攻也懂防守。为了应对今天和明天的安全威胁,我们作为行业需要兼顾两者。
- Katie Moussouris
高级安全策略师,MSRC