04.03.2014  Новости, ОС и разработка приложений, Соглашения, сотрудничество

Многие годы Microsoft отказывалась вознаграждать сторонних экспертов, обнаруживавших уязвимости при тестировании ее ПО, но прошлым летом компания ввела три такие программы, так называемые «премии за баги» (bug bounty). Чем вызвана эта перемена курса? Кейти Муссурис (Katie Moussouris), старший менеджер по стратегии ИБ Microsoft, говорит, что главная цель - нанести удар по черному рынку уязвимостей вместо того, чтобы состязаться с ним. Microsoft хочет наладить отношения с исследователями ИБ на новой основе, заявила она в четверг на конференции RSA 2014 в Сан-Франциско. В 2010 году более 90% уязвимостей, о которых исследователи сообщили непосредственно компании, не были вознаграждены денежной премией. Вместо оплаты Microsoft называла имена этих людей в своих информационных бюллетенях. Однако ситуация изменилась с ростом черного рынка, где сегодня можно получить до 1 млн. долл. за баги, найденные в программных продуктах вендоров. Соблазн был слишком велик, и наметилась тенденция, когда обнаруженные уязвимости стали уходить к преступному сообществу, а не сообщаться компании, поэтому Microsoft решила ввести денежные премии, сказала Муссурис. Теперь, с вводом этих программ, Microsoft в течение всего года выплачивает вознаграждения тем, кто официально сообщит ей о новых обнаруженных уязвимостях в ее ПО. Таким образом, Microsoft стремится нейтрализовать черный рынок, сказала Муссурис. Эндрю Плато, президент компании Anitian Enterprise Security, говорит: конечно ... читать далее.