Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Microsoft będzie płacił za informacje o lukach!
Stało się! Nieugięty do tej pory w kwestii wynagradzania odkrywców nowych luk Microsoft zmienił zdanie. Gigant z Redmond zaoferował właśnie program zachęcający do komercyjnego poszukiwania nowych podatności w swym oprogramowaniu. Zarobić będzie można nawet 150 tys. USD!
Dokładniej rzecz ujmując, Microsoft będzie wynagradzał informacje o nowych metodach obchodzenia technologii zabezpieczeń (Mitigation Bypass Bounty) takich jak DEP i ASLR, wbudowanych w najnowszy system Windows 8.1 Preview. W przypadku jednoczesnego opracowania odpowiedniej techniki obronnej (BlueHat Bonus for Defense) przysługiwać ma dodatkowa premia w wysokości 50 tys. USD. Osobny program przygotowano dla Internet Explorera 11 Preview – tutaj wynagrodzenie za zgłoszenie krytycznej luki wynosi 11 tys. USD.
Logo łowców błędów domagających się wynagrodzeń za swą pracę
Co więc skłoniło giganta z Redmond do płacenia za luki oraz ograniczenia całego przedsięwzięcia wyłącznie do oprogramowania w wersjach rozwojowych? Z pewnością powstanie programu zostało po części wymuszone przez ciągle rozwijający się rynek handlu lukami zero-day.
Ograniczenie zgłoszeń do oprogramowania w wersjach Preview stanowi natomiast ciekawy zabieg, który może pozwolić na załatanie poważnych luk jeszcze przed premierą nowych produktów. Badacze będą w takim wypadku zgłaszać swe odkrycia tym chętniej, że firmy i organizacje skupujące informacje o nowych lukach nie płacą zazwyczaj za błędy dotyczące oprogramowania w wersjach rozwojowych.
Program oficjalnie startuje już 26. Czerwca 2013 roku i wszystko wskazuje na to, że może się przyczynić do tego, by zabezpieczenia w nowych produktach Microsoftu już w momencie premiery były lepiej dopracowane. Poza tym, badacze chcący otrzymać wynagrodzenie za poszukiwanie nowych podatności w systemach Windows będą mniej skłonni do handlowania swymi odkryciami na czarnym rynku. Wszystko to powinno się przełożyć na wyższy poziom bezpieczeństwa użytkowników końcowych, na co czekamy z niecierpliwością.
– Wojciech Smol, (wojciech.smol<at>sekurak.pl)
To chyba przy okazji mały prztyczek w nos dla Tavisa Omandy któremu mogło przejść koło nosa $100k http://sekurak.pl/0day-na-wszystkie-systemy-windows/
-ms