iDefense płaci za dziury w programach Microsoftu
Firma iDefense postanowiła poddać Windows Vista i IE7 ostrej próbie. Łowca dziur, który dostarczy firmie informacje o lukach w tych produktach może otrzymać nawet 12 tys. USD nagrody.
Informacje o lukach można nadsyłać do iDefense do końca tego kwartału, czyli do 31 marca. Nagrodzone zostaną te luki, które pozwalają atakującemu na zdalne przejęcie kontroli nad systemem użytkownika. Firma zapłaci tylko za sześć luk, wiec jeśli będzie więcej zgłoszeń do konkursu, to nagrody otrzyma tylko pierwszych sześciu uczestników.
Za informacje o samej luce iDefense zapłaci 8 tys. USD. Nagroda może wzrosnąć do 10 lub 12 tys. jeśli wraz z dziurą uczestnik konkursu dostarczy działający eksploit.
Podobne konkursy to dla iDefense nic nowego. Już w zeszłym roku firma przeprowadziła podobny konkurs, również trwający 3 miesiące. Wysokość nagród oscylowała w okolicach 10 tys. USD. Teraz konkurs zwrócił na siebie szczególną uwagę, bo pod lupę „łowców dziur” trafią programy reklamowane przez producenta jako najbardziej bezpieczne.
Kilka innych firm również płaciło już za informacje o dziurach. Niestety najczęściej są to przedsiębiorstwa zajmujące się bezpieczeństwem. Rzadziej zdarza się, aby sami producenci dziurawych programów płacili za doniesienia o lukach, choć np. fundacja Mozilla potrafiła tak postąpić. Niestety są i tacy producenci, którzy nie tylko nie płacą, ale nawet nie chcą łatać luk.
Płacenie za informacje o dziurach wydaje się bardzo uczciwym i dobrym pomysłem. Jeśli takich informacji nie kupią firmy, to zawsze istnieje ryzyko, że chętnie kupią je przestępcy.