Strona główna > Newsy > Microsoft mówi ?nie? płaceniu odkrywcom luk w oprogramowaniu

"Microsoft mówi ?nie? płaceniu odkrywcom luk w oprogramowaniu".

2010-07-25

W zeszłym roku słynny specjalista od whitehat security Dino Dai Zovi ruszył z kampanią ?koniec z darmowymi błędami?, która miała nakłonić jego kolegów po fachu do zaprzestania praktyki darmowego ujawniania producentom oprogramowania znalezionych w nim błędów. Od tej pory kwestia płatności za znalezione luki podzieliła świat IT. Spór zaostrzył teraz Microsoft, ogłaszając, że nie zamierza płacić odkrywcom ani centa.

?Wiele firm traktuje podatności jako przypadkowe odkrycia, a wcale to tak nie wygląda? ? stwierdził rozpoczynając swoją kampanię Dino Dai Zovi. Jego zdaniem największe firmy IT ? Microsoft, Apple czy Oracle czerpią wielkie korzyści z darmowej pracy ekspertów, a nie chcą w żaden sposób zrekompensować ich trudu.

Zbliżone stanowisko zajmuje wielokrotny zwycięzca konkursu Pwn2Own, Charlie Miller. Uważa on, że ujawnianie błędów producentom do niczego dobrego nie prowadzi. ?Znajdujemy błąd, oni go poprawiają. Znajdujemy kolejny błąd, oni go poprawiają. To wcale nie poprawia bezpieczeństwa produktu. To prawda: oprogramowanie staje się stopniowo lepsze, ale oni muszą wprowadzić znacznie większe ulepszenia. Ja tego za nich nie zrobię? ? stwierdził zirytowany haker. Nie wspominał co prawda o wynagrodzeniu, ale pokazał, że luki odkrywane są przez niezależnych ekspertów, których Microsoft, Apple i Adobe, mimo posiadania wielkich laboratoriów programistycznych, znaleźć same nie potrafią.

Po stronie specjalistów od whitehat security od lat bezwarunkowo stoi Mozilla. Producent Firefoksa od lat płacił odkrywcom 500 dolarów za odkrytą podatność w jego oprogramowaniu, a niedawno podwyższył tę kwotę do 3000 dolarów za odkrycia najgroźniejszych błędów. W ślady Mozilli poszło Google, nagradzając badaczy kwotami od 500 do 3137 dolarów. Na rynku działają także firmy, takie jak iDefense Labs, które skupują odkrycia badaczy, wykorzystując je później w swoich narzędziach do testowania szczelności systemów.

Wydawać by się mogło, że najbogatsza firma software'owa na świecie, której produkty znane są z tego, że mają dużą powierzchnię ataku, powinna starać się dobrze ułożyć sobie życie z hakerami. Nagrody dla odkrywców na pewno by w tym pomogły. Jednak Redmond nie chce o tym słyszeć. Jak donosi Dennis Fisher z Kaspersky Lab, w liście otrzymanym od Jerry'ego Bryanta, szefa programów bezpieczeństwa Microsoftu, czytamy:

?Cenimy ekosystem badaczy i okazujemy to na wiele sposobów, ale nie sądzimy by płacenie nagród za odkryte podatności było dobre, szczególnie gdy motywacja do działania w tej społeczności nie zawsze jest finansowa. Wiadomo jednak, że honorujemy wkład pracy badacza w naszych biuletynach, jeśli zsynchronizował on ujawnienie szczegółów podatności z wydaniem przez nas łatki?.

Bryant jednocześnie podkreśla, że Microsoft oferuje najlepszym odkrywcom pracę w swoich zespołach bezpieczeństwa, zarówno na terminowych kontraktach jak i w formie stałego zatrudnienia.

Być może jednak nie wszyscy badacze chcą rezygnować z niezależności? Decyzja Redmond to tylko młyn na wodę dla stowarzyszenia Microsoft-Spurned Researcher Collective, nawołującego do anonimowego ujawniania luk w produktach Microsoftu, tak szybko, jak to tylko możliwe. Warto też pamiętać, że niemałe pieniądze za takie odkrycia można uzyskać w świecie black hat security ? czy zatem Redmond ze skąpstwa nie przeciąga badaczy na ciemną stronę mocy?

Źródło: threatpost.com