Dziura za 10 tys. USD

Chcesz zarobić 10 tys. dolarów? Wystarczy że znajdziesz nową krytyczną dziurę w Windows.

Taką ofertę złożyła publicznie firma iDefense, znana z tego że w ubiegłym roku uruchomiła kontrowersyjny program Vulnerability Contributor Program. Firma płaci żywą gotówką za zgłaszane jej na zasadach wyłączoności nowe dziury, dzięki czemu klienci iDefense dowiadują się o nich jako pierwsi. W ciągu trzech pierwszych miesięcy trwania programu firma wypłaciła ponad 40 tys. dolarów. Jednak obecna propozycja przebija wszystkie poprzednie.

iDefense zapłaci 10 tys. dolarów każdemu, kto zgłosi jej nową dziurę w Windows - oczywiście firma musi być pierwszą, która się o tym dowie. Nagroda zostanie również wypłacona dopiero wtedy, gdy Microsoft zaklasyfikuje daną dziurę jako "krytyczną". Podobne konkursy mają być ogłaszane co trzy miesiące i za każdym razem zasady mają być inne. Przedstawiciele firmy nie wykluczyli, że w przyszłym kwartale nagroda będzie przyznana za znalezienie krytycznej dziury w przeglądarce WWW.

Praktyka płacenia za dziury pojawiła się na rynku w ubiegłym roku (Tipping Point, Mozilla) i wzbudziła wiele kontrowersji, dzieląc specjalistów od bezpieczeństwa na dwa fronty. Część z nich uważa, że płacenie za dziury demoralizuje, a znajdowanie dziur w programach powinno być tylko i wyłącznie działalnością o charakterze naukowym. Inni wskazują jednak, że każde działanie podnoszące bezpieczeństwo systemów jest pożyteczne, niezależnie od tego czy się za to dostaje pieniąze czy nie.

Faktem jest, że gdyby producenci oprogramowania testowali bezpieczeństwo swojego oprogramowania to z pewnością dziur byłoby mniej. Jednak ze względu na kosztowność tego procesu robi się to tylko w przypadku niektórych, krytycznych aplikacji (np. bankowych). Z drugiej strony, jeśli znalazł się ktoś kto chce płacić za znajdowanie dziur, choćby i wybiórcze, to czy w ostatecznym rozrachunku na tym nie skorzystamy?


Zobacz również