Hekerji začenjajo spodbujati Microsoft, naj začne plačevati informacije o varnostnih napakah, ki jih najde v svojih programskih izdelkih. Težava se je pojavila ta teden, potem ko je MSRC (Microsoft Security Response Team) objavil sporočilo na sla.
Hekerji začenjajo spodbujati Microsoft, naj začne plačevati informacije o varnostnih napakah, ki jih najde v svojih programskih izdelkih.
Težava se je pojavila ta teden, potem ko je MSRC (Microsoft Security Response Team) objavil sporočilo na oglasna deska sla.ckers.org, ki poziva raziskovalce tretjih oseb, naj posredujejo informacije o ranljivosti neposredno Redmondu, preden se objavijo.
Povabilo – ki se je nanašalo na hrošče, odkrite v vseh Microsoftovih spletnih lastninah, kot so *.microsoft.com, *.msn.com in *.live.com -- je del Microsoftovega vztrajanja pri konceptu "odgovornega razkritja", kjer raziskovalci vnaprej obvestijo prizadetih prodajalcev, vendar odziv hekerjev prvič kaže, da je čas, da Microsoft ponudi denarne nagrade za napake informacije.
Takoj po Microsoftovi objavi na Sla.ckers.org je »digi7al64« odgovoril s tem:
[I] predlagam, da MS uvede sistem nagrajevanja, pri katerem se strinjate, da boste plačali v gotovini za ranljivosti, najdene v vaših domenah. Prednost tega bi po mojem mnenju bila poplava ranljivosti, o katerih so poročali v prvih nekaj mesecih, ki bi se zmanjševala na samo 1 ali 2 občasno, ko bi novi sistemi prihajali na splet.Stroški te vrste projekta bi bili razmeroma nizki in če bi postavili drsečo lestvico glede plačanega zneska (glede na vun), sem prepričan, da bi se lahko izognili za manj kot 20–50 tisočakov... kar je v veliki shemi stvari kaplja v morje za MS.
Informacije o napakah programske opreme veljajo za izjemno dragocene - prodajalci jih uporabljajo za izboljšanje kakovosti izdelkov - vendar obstoječi sistem "odgovornega razkritja" daje informacije brezplačno prodajalcem programske opreme, tudi tistim z globokimi žepi.
Obstoj tretjih posrednikov, kot je Verisignov iDefense VCP in 3Com Tippingpointov ZDI je potrdil trg za napake v programski opremi in hekerjem s belimi klobuki dal možnost, da služijo denar za svoje delo, vendar narašča občutek, da bi morali veliki prodajalci – zlasti Microsoft – vzpostaviti program za nagrajevanje hroščev, ki oprijemljivo nagrajuje zunanje raziskovalci.
Microsoftova uradna politika je, da odgovorno razkritje deluje povsem v redu, in zasluge pripisujejo iskalcem hroščev na področju varnosti biltenov je več kot dovolj, toda rastoči črni trg in porast napadov zero-day dokazujeta, da je status quo potrebuje popravilo.
Jeremiah Grossman, ustanovitelj in glavni tehnološki direktor WhiteHat Security, odtehta:
Zdaj pa pomislite na to... koliko organizacij, ki so bile izločene, bi z veseljem plačalo prostovoljno nagrado za razkritje in si prihranilo negativen tisk, če bi imeli možnost? Verjetno bi se jih udeležilo kar lepo število. Seveda tudi, če se odločijo, da ne bodo sodelovali, ni nič izgubljenega in stvari ostanejo enake. Če pa ima organizacija v proračunu recimo 10.000 $, bi to lahko pomagalo odpraviti ogromno težav z vstavljanjem XSS in SQL. In na neki točki bi bilo težko najti ranljivosti in varnost sistema bi se izboljšala. Očitno bi bilo treba pripraviti veliko podrobnosti, da bi preprečili morebitne sheme izsiljevanja ali izsiljevanja. Nisem povsem pripravljen začeti priporočati ta pristop, vendar mislim, da je vredno nadaljevati dialog.
Chris Eng, direktor varnostnih služb pri Veracode, poziva k previdnosti, zlasti ko gre za revizijo spletnih aplikacij:
Ti plakati se bodisi ne zavedajo ali pa prikladno ignorirajo dejstvo, da je nezakonito izvajati nepooblaščene napade na ta spletna mesta. Obstaja veliko senčnih podzemnih gospodarstev, vendar to ne pomeni nujno, da so zakonita ali etična.