Spora nagroda czeka na osobę, która wykryje luki w zabezpieczeniach dwóch produktów wydanych niedawno przez firmę Microsoft: Internet Explorer 7.0 oraz Windows Vista. O obu produktach mówi się, że posiadają zaawansowane zabezpieczenia. Firma iDefense Labs należąca do VeriSign ogłosiła konkurs dla hakerów polegający na znalezieniu usterek w zabezpieczeniach zarówno Visty jako i IE7, kusząc uczestników nagrodami pieniężnymi.

Główne zasady tej konkurencji są proste: aby zdobyć nagrodę, trzeba znaleźć luki, które nie zostały wcześniej ujawnione i są krytyczne, tj. pozwalają na zdalne wykonanie kodu na w pełni uaktualnionych systemach bez stosowania socjotechniki. Nagroda za każdą taką lukę wynosi 8 000 dolarów plus maksymalnie 4 000 dolarów, jeśli oprócz opisu zostanie dostarczony działający kod exploitu. Może się wydawać, że są to spore pieniądze, jednak ostatnio pojawiły się sugestie, że na stronach "podziemia" za luki w Viście oferowane są czterokrotnie większe sumy.

Temat "luk w zamian za gotówkę" od dawna wywołuje żywą dyskusję w branży. Z jednej strony, finansowa zachęta może przekonać niektórych hakerów do zgłoszenia wykrytych przez siebie luk w zabezpieczeniu bez ujawniania ich publicznie i wywoływania zamieszania. Z drugiej strony, system "wyzwań" i "nagród" tworzy podstawy rynku lukami w zabezpieczeniach, co również ma swoją negatywną stronę. Podejście to krytykuje sama firma Microsoft, twierdząc, że istnieją lepsze sposoby postępowania z lukami w zabezpieczeniu, takie jak na przykład jej własny program odpowiedzialnego ujawniania.

Źródło: CNET Heise Security eWeek