Новостей.COM ⇒
⇓
2007-01-11
VeriSign предложила $8000 за "дыры" в Vista и IE 7
Компания VeriSign объявила о том, что будет выплачивать $8000 в качестве поощрения за обнаружение "дыр" Windows Vista и Internet Explorer 7, позволяющих удаленное исполнение программного кода. Это предложение является частью неоднозначно воспринимай программы VCP (Vulnerability Contributor Program) направленной на привлечение хакеров к исследовательской деятельности. Представители Microsoft, в частности, не раз отмечали, что подобные соревнования не лучший способ защиты пользователей (но разве не софтверный гигант "раздает" лицензии на свои продукты тем, кто "заложил" продавца контрафактного ПО).
Это уже не первое подобное "соревнование" хакеров по взлому Vista. Так менее месяца назад компания Trend Micro объявила об обнаружении уязвимости в этой ОС. Тот факт, что плата взломщику за работу составила "всего ничего" $50000, иллюстрирует рост рынка информации об уязвимостях в ПО. Многие компании, выпускающие специализированные программные средства для защиты информации и предотвращения атак извне, прибегают к помощи хакеров устраивая своеобразные тендеры на обнаружение уязвимости. Причина как всегда достаточно банальна – деньги. Дело в том, что создать отдел из профессионалов, которые будут постоянно искать уязвимости это дорогое удовольствие (заработная плата одного такого сотрудника в месяц может вполне превышать бонус "вольного охотника" за нахождение "дыры"). При этом обнаружение хакером уязвимости в большинстве случаев носит эвристический характер, т.е. часто случайно и является результатом метода "научного тыка". А специалистов "на окладе" эффективнее использовать для детальной проработки всех вероятных "узких мест" ПО и для их последующего комплексного изучения, нежели полагаться на удачу. Одновременно находят занятие и взломщикам, направляя их энергию в русло созидания – если же им все-таки удастся обнаружить "дыру", то, желая получить вознаграждение, они проинформируют "спонсора", а тот в свою очередь изучит проблему и доработает свое ПО. На этом ПО "спонсор" с лихвой возместит расходы на "бонусы".
"И Microsoft Internet Explorer и Microsoft Windows доминируют на своих рынках, и не удивительно, что решение пользователя обновить свое ПО связанно с неопределенностью. Первое место в умах ИТ профессионалов занимает вопрос об уязвимостях, которые могут содержаться в этих новаторских продуктах", говорится в заявлении, распространенном iDefense Labs (входит в состав VeriSign). Компания ставит перед собой задачу убрать эту "неопределенность". Правила для участников "соревнования" предельно просты – компания платит $8000 за обнаружение уязвимости, которая позволит взломщику удаленно взломать и исполнить произвольный код на любом из финальных продуктов Vista или IE 7.0 (естественно победителем считается "первый дозвонившийся"). Причем организаторы акции отмечают, что количество "счастливых чеков" на $8000 ограничено – их всего шесть. То есть оплачиваются только первые шесть уязвимостей. Правда есть и хорошие новости – iDefense оставляет за собой право назначить минибонус в размере $2000 - $4000 в дополнение к первоначальному чеку. Этот бонус получат те, кто представят детальные данные по уязвимости, рабочий код взломщика, т.е. избавят компанию от необходимости детального исследования информации об уязвимости.
Это уже не первое подобное "соревнование" хакеров по взлому Vista. Так менее месяца назад компания Trend Micro объявила об обнаружении уязвимости в этой ОС. Тот факт, что плата взломщику за работу составила "всего ничего" $50000, иллюстрирует рост рынка информации об уязвимостях в ПО. Многие компании, выпускающие специализированные программные средства для защиты информации и предотвращения атак извне, прибегают к помощи хакеров устраивая своеобразные тендеры на обнаружение уязвимости. Причина как всегда достаточно банальна – деньги. Дело в том, что создать отдел из профессионалов, которые будут постоянно искать уязвимости это дорогое удовольствие (заработная плата одного такого сотрудника в месяц может вполне превышать бонус "вольного охотника" за нахождение "дыры"). При этом обнаружение хакером уязвимости в большинстве случаев носит эвристический характер, т.е. часто случайно и является результатом метода "научного тыка". А специалистов "на окладе" эффективнее использовать для детальной проработки всех вероятных "узких мест" ПО и для их последующего комплексного изучения, нежели полагаться на удачу. Одновременно находят занятие и взломщикам, направляя их энергию в русло созидания – если же им все-таки удастся обнаружить "дыру", то, желая получить вознаграждение, они проинформируют "спонсора", а тот в свою очередь изучит проблему и доработает свое ПО. На этом ПО "спонсор" с лихвой возместит расходы на "бонусы".
"И Microsoft Internet Explorer и Microsoft Windows доминируют на своих рынках, и не удивительно, что решение пользователя обновить свое ПО связанно с неопределенностью. Первое место в умах ИТ профессионалов занимает вопрос об уязвимостях, которые могут содержаться в этих новаторских продуктах", говорится в заявлении, распространенном iDefense Labs (входит в состав VeriSign). Компания ставит перед собой задачу убрать эту "неопределенность". Правила для участников "соревнования" предельно просты – компания платит $8000 за обнаружение уязвимости, которая позволит взломщику удаленно взломать и исполнить произвольный код на любом из финальных продуктов Vista или IE 7.0 (естественно победителем считается "первый дозвонившийся"). Причем организаторы акции отмечают, что количество "счастливых чеков" на $8000 ограничено – их всего шесть. То есть оплачиваются только первые шесть уязвимостей. Правда есть и хорошие новости – iDefense оставляет за собой право назначить минибонус в размере $2000 - $4000 в дополнение к первоначальному чеку. Этот бонус получат те, кто представят детальные данные по уязвимости, рабочий код взломщика, т.е. избавят компанию от необходимости детального исследования информации об уязвимости.
Сырой Сергей, TECHLABS