250 tys. USD za zabezpieczenie Windows
- Antoni Steliński,
- 04.08.2011, godz. 11:09
Microsoft uruchomił konkurs dla specjalistów ds. bezpieczeństwa, w którym główną nagrodą będzie 200 tys. USD. Tym razem nie chodzi jednak o znajdowanie luk czy łamanie zabezpieczeń - nagroda BlueHat Prize trafi do tego, kto stworzy system chroniący oprogramowanie przed atakami wykorzystującymi najpopularniejsze typy exploitów.
"Chcieliśmy zrobić coś większego i bardziej znaczącego niż tylko wykrywanie kolejnych luk. Chcemy namówić specjalistów ds. bezpieczeństwa na szerszego spojrzenia na problem zabezpieczeń i wykorzystać ich wiedzę nie do bieżącego łatania oprogramowania, lecz do stworzenia kompleksowych systemów ochronnych" - tłumaczyła Katie Moussouris z działu bezpieczeństwa koncernu z Redmond.
Zobacz również:
- Klucze passkey zapewniają bezpieczeństwo ponad połowie kont Google
- Dzisiaj mamy Światowy Dzień Hasła
- Najnowsza aktualizacja Windows wpływa na działanie VPN
Konkurs ogłoszony został podczas trwającej właśnie w Las Vegas konferencji hakerskiej Black Hat. Moussouris tłumaczyła podczas oficjalnej konferencji prasowej, że Microsoft nie chciał uruchamiać kolejnego szablonowego programu płacenia za błędy (gwoli przypomnienia - taki projekt przygotował ostatnio Facebook). "Uznaliśmy, że lepszym rozwiązaniem będzie stworzenie systemu, który będzie w stanie blokować wiele typów ataków. Naszym zdaniem to najrozsądniejsze zagospodarowanie ogromnego potencjału i umiejętności specjalistów ds. bezpieczeństwa" - wyjaśniła przedstawicielka koncernu.
Wiadomo już, że na przygotowanie zadania konkursowego uczestnicy będą mieli czas do 1 kwietnia 2012 r. Zwycięzcy zostaną oficjalnie zaprezentowani podczas przyszłorocznej edycji Black Hat.
"Z naszych statystyk wynika, że standardowy program płacenia za błędy nie jest nam po prostu potrzebny. Ponad 90% specjalistów znajdujących luki w naszym oprogramowaniu zgłasza je bezpośrednio do nas - tylko 10% decyduje się na przekazanie informacji na ten temat organizacjom płacącym za luki, takim jak np. HP TippingPoint. Poza tym wiadomo powszechnie, że standardowe nagrody [w przypadku Google jest to maksymalnie 3,1 tys. USD - red.] są i tak niewielkie w porównaniu z tym, co można uzyskać za informację o poważnej luce na czarnym rynku" - tłumaczyła Katie Moussouris z Microsoftu.
Zdaniem Andrew Stormsa, szefa działu bezpieczeństwa firmy nCircle Security, pomysł Microsoftu jest fantastyczny. "Mają racje - ich błędy i tak są zwykle zgłaszane bezpośrednio do MS Security Response. MS zdecydował się na coś więcej niż zwykłe płacenie za kolejne luki, firma postanowiła zadziałać przyszłościowo i wyłożyć znaczące środki na zabezpieczenia, które faktycznie mogą skutecznie chronić przed różnymi typami ataków. To jest coś nowego i zupełnie innego - i dobrze, bo obecnie zabezpieczanie oprogramowania sprowadza się tylko do łatania kolejnych błędów" - skomentował Storms.
W regulaminie konkursu BlueHat Prize przewidziano dwie nagrody finansowe - 200 tys. USD za pierwsze miejsce i 50 tys. USD za drugie. Autorzy nagrodzonych projektów zachowają prawa autorskie do swoich technologii, aczkolwiek będą musieli je nieodpłatnie licencjonować Microsoftowi. Zgłaszane oprogramowanie musi działać w Windows i być przygotowane w Windows SDK. Sędziami konkursu będą przedstawiciele microsoftowego działu Security Response Center (MSRC).
Zdaniem Stormsa, stworzone w ramach konkursu rozwiązania mogą pojawić się w Windows 9 (Windows 8 już powstaje, wątpliwe jest by Microsoft zdołał do niego zaimplementować technologię, która gotowa będzie dopiero za rok), a także w kolejnych wersjach IE (być może 11 lub 12). Niewykluczone jednak, że z czasem Microsoft zechce wprowadzić je również do starszego oprogramowania - np. poprzez Service Pack.