Microsoft ne želi da plaća za otkrivanje grešaka

MICROSOFT JE OBJAVIO DA ZA RAZLIKU od Mozille i Googlea nema nameru da daje bilo kakvu novčanu nagradu istraživačima koji ih izveste o nekoj grešci u njegovom softveru.

„Mi smatramo da to nije najbolji način da kompenzujemo rad istraživača“, izjavio je Majk Rivi, direktor Microsoftovg centra za istraživanje bezbednosti (Microsoft Security Research Center, MSRC) odgovarajući na novinarsko pitanje da li će Microsoft slediti nedavno objavljene odluke po kojima su Google i Mozilla povećali isplate spoljnim istraživačima koji ih obaveste o propustima i greškama u njihovom softveru.

Prošle nedelje Mozilla je povećala novčani iznos koji dodeljuje otkrivačima kritičnih i visoko rizičnih grešaka u Firefoxu sa 500 dolara na 3000 dolara. Par dana kasnije i Google je učinio isto pa će otkrivači grešaka u Chromeu ubuduće dobijati po 3133 dolara.

Međutim, Microsoft ne želi da skoči u isti bazen.

Rivi je rekao da nisu svi istraživači finansijski motivisani, što je upravo suprotno mišljenju nekolicine najpoznatijih istraživača kao i tvrdnjama prodavaca bezbednosnog softvera koji smatraju da upravo zarada inspiriše većinu hakera koji smišljaju i izvode napade.

On je isto tako rekao i da Microsoft kompenzuje istraživače bezbednosti na druge načine, kroz konferencije o bezbednosti koje sponzoriše ili kosponzoriše (jedna od njih je i konferencija Black Hat koja će se održati ove nedelje, a druga njegovo sopstveno okupljanje nazvano Blue Hat koje se organizuje u sedištu kompanije u Redmondu) i mogućnost zapošljavanja u vidu saradnika ili člana njegovog bezbednosnog tima.

„Ima puno načina koje primenjujemo u radu sa istraživačima bezebednosti a ne svode se na direktno novčano isplaćivanje“, kazao je Rivi.

Međutim, nekoliko doboro poznatih pronalazača grešaka smatra da bi bolje bilo kad bi Microsoft odrešio kesu.

„Voleli bismo da i Microsoft finansijski nagradi naš rad“, izjavio je Džeremaja Grosman, tehnološki direktor kompanije White Hat Security, koji će ovog četvrtka na skupu Black Hat govoriti o propustu u Appleovom Safariju.

„Šta bi im značilo da plate 1000, 3000, 5000 ili 10.000 dolara da kupe informaciju o propustu“, upitao je Grosman. „Ionako zarađuju milijarde.“

Istraživači smatraju da je kupovina infomacije o propustu siguran način da se ukloni pretnja u vidu ranog objavljivanja, što proizvođačima poput Microsofta štedi vreme i novac koji bi potrošili na ispitivanje problema koji je iznanada otkriven, ili greške koja je procurela u javnost pre nego što je spremna zakrpa, čime se bolje štite klijenti.

„Veliki proizvođači kao što je Microsoft imali su istorijski gledano averziju prema nagrađivanju“, kaže Dino Dai Zovi, konsultant i istraživač propusta. „Više bih voleo kad bi sledili model koji koriste Google i Mozilla.“

On je prošle godine zajedno s još dvojicom kolega, Čarlijem Milerom i Aleksom Sotirovom, pokrenuo inicijativu nazvanu „Nema besplatnih grešaka“ (No Free Bugs) kojom se predlaže da istraživačima treba platiti za njihov rad, jer propusti u softveru imaju vrednost i za proizvođača čiji je proizvod izložen riziku i za sivo ili crno tržište.

Dai Zovi smatra da istraživači koji besplatno izveštavaju o greškama čine to samo dok grade reputaciju, a kako postaju iskusniji sve ređe se odlučuju na takav korak, jer su u međuvremenu stekli klijente koji su voljni da im plate. „Tada nije fer prema mojim klijentima koji mi plaćaju za utrošeno vreme da proizvođaču besplatno ukažem na problem.“

Postoje i drugi načini da se zaradi na greškama u nečijem softveru – legalno i uz Microsoftov blagoslov, čak i kad Microsoft ne ispisuje čekove direktno. HP-ov TippingPoint i VeriSignov iDefense su programi tipa „pare za grešku“, i oni redovno isplaćuju novac za uočene propuste koje potom dojavljuju odgovarajućem proizvođaču.

Microsoft je u četvrtak promenio ime svoje dosadašnje prakse koju je nazivao „odgovorno otkrivanje“ (responsible disclosure) po kojoj je istraživač izveštavao o grešci a potom ćutao dok se ne spremi zakrpa. U novom predlogu je i novo ime – „koordinirano otkrivanje propusta“ (coordinated vulnerability disclosure). Microsoft poziva istraživače da izveste o grešci na bilo koji način koji im se sviđa.

„Izvestite o problemu proizvođača ili CERT-CC ili nekog drugog koordinatora za koga verujete da će privatno obavestiti proizvođača ili prodajte informaciju onom servisu koji će to učiniti“, navedeno je u saopštenju koje je objavio strateški tim njegovog ekosistema MSRC. (M.V.)

|Search:Find More About Microsoft ne želi da plaća za otkrivanje grešaka|

[ad#ad-post1]

Izvor: Mikro