VeriSign предложила хакерам награду за уязвимости в Vista и IE 7
🕛 15.01.2007, 12:15
Подразделение всемирно известной компании VeriSign - iDefense Lab - учредило премию в размере 8000 американских долларов за обнаружение уязвимостей в Windows Vista и Internet Explorer 7, позволяющих удаленное исполнение кода… Данным вознаграждением для хакеров компания намерена привлечь разработчиков к своей неоднозначной программе - Vulnerability Contributor Program, построенной по принципу pay-for-flaw - оплата за каждую найденную уязвимость. Началось хакерское состязание примерно через месяц после того, как разработчики из Trend Micro сообщили, что в хакерской андеграунд-тусовке продается эксплойт для Vista всего за 50000 долларов.
iDefense не просто является брендом. TippingPoint от 3Com также имеет схожую программу, названную Zero Day Initiative, которая выплачивает вознаграждение тем разработчикам, которые дают согласие на передачу эксклюзивных прав на сообщение о неопубликованных уязвимостях или экслойтам.
Очевидно, что целью данной программы является обнаружение уязвимостей и использование данной информации в собственных механизмах защиты, которая компания продает сторонним разработчикам. Представители же компании говорят, что целью соревнования является развеять сомнения.
"И Windows Internet Explorer и Microsoft Windows доминируют на рынках соответствующего ПО и неудивительно, что выпуск обновленной версии Internet Explorer 7.0 и/или Windows Vista полон рисков, связанных с безопасностью. Таким образом, все мысли IT-специалистов по безопасности крутятся вокруг вопроса, какие уязвимости будут в этих выдающихся программных продуктах" - говорится в сообщении iDefense к учрежденной награде.
Правила программы достаточно просты: iDefense заплатит 8000 долларов за каждую сообщенную уязвимость, которая позволяет атакующему удаленно запустить экслойт и выполнить код для каждого из двух продуктов. Только первое сообщение об уязвимости будет оплачено компанией, а также iDefense оплатит не более 6 наград в размере 8000 долларов.
Для того, чтобы получить премию, обнаруженная уязвимость "должна быть исполняемой удаленно и должна позволять запуск произвольного кода в исходной исталляции Vista или IE 7.0. Уязвимость должна быть рабочей в финальных версиях продуктов с последними установленными патчами/обновлениями". Уязвимости в релиз-кандидатах или бета-версиях продуктов не подходят. Правила iDefense также четко дают понять, что уязвимость "должна быть оригинальной и ранее не публикованной ни публично ни сообщенной какому-либо вендору".
В дополнение к награде в 8000 долларов iDefense выплатит премию в размере от 2000 до 4000 долларов в зависимости от качества, документации и надежности исполнения работающего эксплойта, который реализует обнаруженную уязвимость. "Исполнение произвольного кода должно носить невредоносный характер. Сообщение об исполнении вредоносного кода является причиной для дисквалификации из соревнования" - сообщает компания.
Microsoft обычно неодобрительно относится к подобным инициативам. "Мы не верим, что предложение компенсации за информацию об уязвимости - это лучший способ для разработчиков защитить пользователей" - заявил представитель компании в ответ на хакерское соревнование, инициированное компанией iDefense.
"Microsoft верит, что только доверительное сообщение о найденных уязвимостях, которое влечет за собой незамедлительную реакцию вендоров антивирусного ПО и гарантированное появление обновления в тот же день, когда стало широко известно об уязвимости, - это лучший способ защитить конечного пользователя" - сообщил пресс-секретарь компании Microsoft.