Piratai pradeda agituoti, kad „Microsoft“ pradėtų mokėti už informaciją apie jos programinės įrangos produktų saugos trūkumus. Problema iškilo šią savaitę po to, kai MSRC (Microsoft Security Response Team) paskelbė pranešimą SLA.
Piratai pradeda agituoti, kad „Microsoft“ pradėtų mokėti už informaciją apie jos programinės įrangos produktų saugos trūkumus.
Problema iškilo šią savaitę po to, kai MSRC (Microsoft Security Response Team) paskelbė pranešimą sla.ckers.org pranešimų lenta, raginant trečiųjų šalių tyrėjus prieš paskelbiant viešai pateikti pažeidžiamumo informaciją tiesiogiai Redmondui.
Kvietimas, apimantis klaidas, aptiktas visose „Microsoft“ internetinėse žiniatinklio nuosavybėse, tokiose kaip *.microsoft.com, *.msn.com ir *.live.com – tai dalis „Microsoft“ primygtinai reikalaujančios „atsakingo atskleidimo“ sąvokos, kai mokslininkai iš anksto praneša paveikti pardavėjai, tačiau pirmą kartą įsilaužėlių atsakymas rodo, kad „Microsoft“ laikas pasiūlyti piniginį atlygį už klaidą informacija.
Iškart po „Microsoft“ Sla.ckers.org įrašo „digi7al64“ atsakė taip:
[Aš] siūlau MS įdiegti atlygio sistemą, pagal kurią sutinkate mokėti grynaisiais už pažeidžiamumą, aptiktą jūsų domenuose. To pranašumas, mano nuomone, būtų pažeidžiamumų, apie kuriuos pranešta pirmaisiais mėnesiais, potvynis, kuris su pertraukomis sumažėtų tik iki 1 ar 2, kai prisijungs naujos sistemos.Tokio tipo projekto kaina būtų palyginti maža, o jei nustatytumėte slenkančią sumokėtos sumos skalę (remiantis vun), aš tikiu, kad galėtumėte išsiversti už mažiau nei 20–50 tūkst. o tai iš esmės yra lašas jūroje MS.
Informacija apie programinės įrangos defektus laikoma itin vertinga – pardavėjai ją naudoja siekdami pagerinti produktų kokybę, tačiau esama „atsakingo atskleidimo“ sistema nemokamai suteikia informaciją programinės įrangos pardavėjams, net ir tiems, kurie turi daug pinigų.
Trečiųjų šalių brokerių, tokių kaip „Verisign's“, buvimas iDefense VCP ir 3Com „Tippingpoint“ ZDI patvirtino programinės įrangos trūkumų rinką ir leido įsilaužėliams užsidirbti pinigų už savo darbą, tačiau jausdamas, kad didieji pardavėjai, ypač „Microsoft“, turėtų sukurti klaidų mažinimo programą, kuri apčiuopiamai atlygintų iš išorės. tyrinėtojai.
Oficiali „Microsoft“ politika yra ta, kad atsakingas atskleidimas veikia puikiai, o saugos klaidų ieškantiems suteikiama reikšmė biuletenių yra daugiau nei pakankamai, tačiau klestinti juodoji rinka ir nulinės dienos atakų šuolis įrodo, kad status quo reikia sutvarkyti.
Jeremiah Grossman, WhiteHat Security įkūrėjas ir vyriausiasis technologijų pareigūnas, sveria:
Dabar pagalvokite apie tai… jei būtų suteikta galimybė, kiek organizacijų, kurios buvo išstumtos, mielai būtų sumokėjusios savanorišką atlygį už informacijos atskleidimą ir apsisaugojusios nuo neigiamos spaudos? Turbūt nemažai būtų dalyvavę. Be to, žinoma, jei jie nuspręs nedalyvauti, nieko nebus prarasta ir viskas išliks nepakitusi. Nors jei organizacijos biudžetas būtų 10 000 USD, tai galėtų padėti pašalinti daugybę XSS ir SQL injekcijos problemų. Ir tam tikru momentu pažeidžiamumų bus daug sunku rasti, o sistemos saugumas pagerėtų. Akivaizdu, kad norint atremti bet kokias turto prievartavimo ar šantažo schemas, reikėtų išsiaiškinti daugybę detalių. Nesu visiškai pasiruošęs pradėti rekomenduoti šį metodą, bet manau, kad verta tęsti dialogą.
Chrisas Engas, „Veracode“ saugos paslaugų direktorius, ragina būti atsargiems, ypač kai reikia tikrinti žiniatinklio programas:
Šie plakatai arba nesuvokia, kad iš pradžių yra neteisėta rengti neteisėtas atakas prieš šias svetaines, arba patogiai ignoruoja faktą. Egzistuoja daug šešėlinės pogrindinės ekonomikos, tačiau tai nebūtinai daro ją legalią ar etišką.