250 tys. USD to najwyższa nagroda, jaką kiedykolwiek ufundowano w podobnym projekcie. Do tej pory najwięcej płacił Google - za wykrywanie luk w swoim oprogramowaniu firma wypłaciła w tym roku ok. 110 tys. USD.

"Chcieliśmy zrobić coś większego i bardziej znaczącego niż tylko wykrywanie kolejnych luk. Chcemy namówić specjalistów ds. bezpieczeństwa na szerszego spojrzenia na problem zabezpieczeń i wykorzystać ich wiedzę nie do bieżącego łatania oprogramowania, lecz do stworzenia kompleksowych systemów ochronnych" - tłumaczyła Katie Moussouris z działu bezpieczeństwa koncernu z Redmond.

Zobacz również:

• Klucze passkey zapewniają bezpieczeństwo ponad połowie kont Google
• Dzisiaj mamy Światowy Dzień Hasła
• Najnowsza aktualizacja Windows wpływa na działanie VPN

Konkurs ogłoszony został podczas trwającej właśnie w Las Vegas konferencji hakerskiej Black Hat. Moussouris tłumaczyła podczas oficjalnej konferencji prasowej, że Microsoft nie chciał uruchamiać kolejnego szablonowego programu płacenia za błędy (gwoli przypomnienia - taki projekt przygotował ostatnio Facebook). "Uznaliśmy, że lepszym rozwiązaniem będzie stworzenie systemu, który będzie w stanie blokować wiele typów ataków. Naszym zdaniem to najrozsądniejsze zagospodarowanie ogromnego potencjału i umiejętności specjalistów ds. bezpieczeństwa" - wyjaśniła przedstawicielka koncernu.

Wiadomo już, że na przygotowanie zadania konkursowego uczestnicy będą mieli czas do 1 kwietnia 2012 r. Zwycięzcy zostaną oficjalnie zaprezentowani podczas przyszłorocznej edycji Black Hat.

"Z naszych statystyk wynika, że standardowy program płacenia za błędy nie jest nam po prostu potrzebny. Ponad 90% specjalistów znajdujących luki w naszym oprogramowaniu zgłasza je bezpośrednio do nas - tylko 10% decyduje się na przekazanie informacji na ten temat organizacjom płacącym za luki, takim jak np. HP TippingPoint. Poza tym wiadomo powszechnie, że standardowe nagrody [w przypadku Google jest to maksymalnie 3,1 tys. USD - red.] są i tak niewielkie w porównaniu z tym, co można uzyskać za informację o poważnej luce na czarnym rynku" - tłumaczyła Katie Moussouris z Microsoftu.

Zdaniem Andrew Stormsa, szefa działu bezpieczeństwa firmy nCircle Security, pomysł Microsoftu jest fantastyczny. "Mają racje - ich błędy i tak są zwykle zgłaszane bezpośrednio do MS Security Response. MS zdecydował się na coś więcej niż zwykłe płacenie za kolejne luki, firma postanowiła zadziałać przyszłościowo i wyłożyć znaczące środki na zabezpieczenia, które faktycznie mogą skutecznie chronić przed różnymi typami ataków. To jest coś nowego i zupełnie innego - i dobrze, bo obecnie zabezpieczanie oprogramowania sprowadza się tylko do łatania kolejnych błędów" - skomentował Storms.

W regulaminie konkursu BlueHat Prize przewidziano dwie nagrody finansowe - 200 tys. USD za pierwsze miejsce i 50 tys. USD za drugie. Autorzy nagrodzonych projektów zachowają prawa autorskie do swoich technologii, aczkolwiek będą musieli je nieodpłatnie licencjonować Microsoftowi. Zgłaszane oprogramowanie musi działać w Windows i być przygotowane w Windows SDK. Sędziami konkursu będą przedstawiciele microsoftowego działu Security Response Center (MSRC).

Zdaniem Stormsa, stworzone w ramach konkursu rozwiązania mogą pojawić się w Windows 9 (Windows 8 już powstaje, wątpliwe jest by Microsoft zdołał do niego zaimplementować technologię, która gotowa będzie dopiero za rok), a także w kolejnych wersjach IE (być może 11 lub 12). Niewykluczone jednak, że z czasem Microsoft zechce wprowadzić je również do starszego oprogramowania - np. poprzez Service Pack.