Microsoft: mi nem fizetünk jutalmat a bugokért
Ismert biztonsági szakemberek - köztük Charlie Miller, Alex Sotirov és Dino Dai Zovi - korábban kijelentették: nincsenek többé ingyen bugok. Ez pontosabban azt jelenti, hogy ők nem fognak azért időt áldozni sebezhetőségek felkutatására, dokumentálására, exploitok kidolgozására és megírására, hogy utána ezeket az információkat ingyen a gyártók rendelkezésére bocsátsák. Charlie Miller egy tavaly tavaszi interjúban kerek perec kijelentette, hogy nem fogja az általa talált hibát az Apple-lel ingyen megosztani. A vállalatnak vannak szakemberei, akik azért kapják a fizetésüket, hogy ezt a munkát elvégezzék. Dino Dai Zovi egy hosszabb blogbejegyzésben akkor kifejtette, hogy mi a motiváció a "No more free bugs" kampányuk mögött. Alex Sotirov és Dino Dai Zovi - No more free bugs A kampány legfőképpen olyan for profit vállalatokkal szemben indult, amelyeknek sebezhető termékeit pénzért lehet megvásárolni, magyarul, olyan vállalatok ellen, amelyek profitot termelnek az adott termékek árusításán keresztül. Kiváltképp olyan for profit vállalatok ellen, akik már foglalkoztatnak biztonsági szakembereket, akiknek az lenne a dolga, hogy ezeket a sebezhetőségeket megtalálják. Dai Zovi blogbejegyzésében megemlíti, hogy a nyílt forrású projektekben vagy az internetes infrastruktúrában felfedezett sebezhetőségek méltán igényelnek megkülönböztetést. Dai Zovi 4 pontba szedte a kampány mögött álló okokat: A sebezhetőségek veszélynek teszik ki a felhasználókat. Nyilván, ha nem így lenne, akkor a gyártók nem javítanák őket. A sebezhetőségeknek értékük van. Vannak cégek, akik szakembereket alkalmaznak a hibák felkutatására, javítására. Vannak olyan cégek, magánszemélyek stb. akik legálisan pénzt fizetnek a bejelentett sebezhetőségek után (Tippingpoint / ZDI, Mozilla, Google, Donald Knuth, Dan Bernstein). A hibák bejelentése veszélyt rejt a bejelentő számára. Akár fenyegetéseknek, pereknek, börtönnek teheti ki őket. A sebezhetőségekkel kapcsolatos információk ingyenes közlése nem fair azokkal az ügyfelekkel szemben, akik fizetnek ezekért a szolgáltatásokért, információkért. Vannak cégek, akik megpróbálják valamiféleképpen honorálni a biztonsági kutatók munkáját. Az elmúlt napokban a Mozilla bejelentette, hogy felemeli azt a jutalmat, amelyet a termékeit, szolgáltatásait érintő, bejelentett sebezhetőségek után fizet. Néhány nappal később a Google követte a példát. Állítólag security körökben az hír járja már egy ideje, hogy a Microsoft is hasonló lépésre szánhatja el magát és hamarosan a redmondi cég is jutalmat fizet a bejelentett bugok után. A híresztelés kacsának bizonyult, hiszen a vállalat hivatalosan cáfolta, hogy jutalmat tervezne fizetni a kutatóknak a bejelentett, sebezhetőségekről szóló információk után. A Microsoft részéről Jerry Bryant elmondta, hogy véleményük szerint nem az legjobb megoldás, hogy jutalmat fizetnek a bugok után. Szerintünk biztonsági körökben nem minden esetben anyagi a motiváció az egyes bejelentésekkel kapcsolatban. Megjegyezte, hogy a Microsoft rendszeresen megemlíti a biztonsági figyelmeztetőiben a hiba felfedezőjét, megemlékezve arról, hogy az adott kutató értékes információkkal járult hozzá sebezhetőség orvoslására kidolgozott javítás elkészítéséhez. Annak ellenére, hogy nem osztanak hibánként jutalmat, elismerik és jutalmazzák a tehetséges embereket. Volt példa már arra, hogy biztonsági körökben befolyásosnak számító egyének csatlakozhattak a Microsoft biztonsági csapatához alkalmazottként. Ezen kívül a vállalat közvetlen szerződéseket köt biztonsági vállalatokkal és néha magánszemélyekkel azért, hogy azok leteszteljék biztonsági szempontból egyes termékeiket még a kiadás előtt. A részletek itt.