10 tys. za dziurę

17 lutego 2006 0 przez Piotr Bulski

Firma iDefense proponuje nowe nagrody za wyszukanie niedoskonałości systemu Windows. Nagrodzone będą tylko te luki, których odkrycie zakończy się publikacją w Biuletynie Bezpieczeństwa Microsoftu (Microsoft Security Bulletin), a ich poziom określony zostanie jako krytyczny.

Nagrody pieniężne to ciekawy sposób zachęcania do poszukiwania dziur w oprogramowaniu. Stosuje je niewiele firm, a wśród nich większość stanowią producenci oprogramowania zabezpieczającego systemy komputerowe (choć nie tylko, bo za dziury płaci także Mozilla). Dla firm z sektora zabezpieczeń komputerowych to sposób na budowanie produktów zabezpieczających, wyposażonych w możliwość wykrywania większej liczby zagrożeń niż produkty firm konkurencyjnych.

Microsoft nadaje lukom oznaczenie krytyczne w momencie kiedy wykorzystujący niedoskonałość programu atak np. wirusa, nie wymaga interakcji ze strony użytkownika atakowanego systemu. Liczba nagród oferowanych przez iDefense nie jest ograniczona. Jeśli odnalezionych zostanie pięć luk, a o ich istnieniu poinformuje Microsoft oznaczając je jako krytyczne, iDefense „pożegna się” z 50 tys. dolarów. Termin zgłoszeń luk upływa wraz z końcem marca.

Nowa akcja iDefense to rozszerzenie programu oferowania zgłaszającym wady oprogramowania nagród pieniężnych. Nie jest wiadome jak wiele firma płaci swoim „informatorom”, jednak washingtonpost.com wspomina o sumach od kilkuset do nawet tysięcy dolarów, w zależności od „jakości” dziury oraz popularności programu, w którym ją odnaleziono.