MICROSOFT ЈЕ ОБЈАВИО ДА ЗА РАЗЛИКУ од Mozille и Googlea нема намеру да даје било какву новчану награду истраживачима који их известе о некој грешци у његовом софтверу.

„Ми сматрамо да то није најбољи начин да компензујемо рад истраживача“, изјавио је Мајк Риви, директор Microsoftovg центра за истраживање безбедности (Microsoft Security Research Center, MSRC) одговарајући на новинарско питање да ли ће Microsoft следити недавно објављене одлуке по којима су Google и Mozilla повећали исплате спољним истраживачима који их обавесте о пропустима и грешкама у њиховом софтверу.

Прошле недеље Mozilla је повећала новчани износ који додељује откривачима критичних и високо ризичних грешака у Firefoxu са 500 долара на 3000 долара. Пар дана касније и Google је учинио исто па ће откривачи грешака у Chromeu убудуће добијати по 3133 долара.

Међутим, Microsoft не жели да скочи у исти базен.

Риви је рекао да нису сви истраживачи финансијски мотивисани, што је управо супротно мишљењу неколицине најпознатијих истраживача као и тврдњама продаваца безбедносног софтвера који сматрају да управо зарада инспирише већину хакера који смишљају и изводе нападе.

Он је исто тако рекао и да Microsoft компензује истраживаче безбедности на друге начине, кроз конференције о безбедности које спонзорише или коспонзорише (једна од њих је и конференција Black Hat која ће се одржати ове недеље, а друга његово сопствено окупљање названо Blue Hat које се организује у седишту компаније у Редмонду) и могућност запошљавања у виду сарадника или члана његовог безбедносног тима.

„Има пуно начина које примењујемо у раду са истраживачима безебедности а не своде се на директно новчано исплаћивање“, казао је Риви.

Међутим, неколико доборо познатих проналазача грешака сматра да би боље било кад би Microsoft одрешио кесу.

„Волели бисмо да и Microsoft финансијски награди наш рад“, изјавио је Џеремаја Гросман, технолошки директор компаније White Hat Security, који ће овог четвртка на скупу Black Hat говорити о пропусту у Appleovom Сафарију.

„Шта би им значило да плате 1000, 3000, 5000 или 10.000 долара да купе информацију о пропусту“, упитао је Гросман. „Ионако зарађују милијарде.“

Истраживачи сматрају да је куповина инфомације о пропусту сигуран начин да се уклони претња у виду раног објављивања, што произвођачима попут Microsofta штеди време и новац који би потрошили на испитивање проблема који је изнанада откривен, или грешке која је процурела у јавност пре него што је спремна закрпа, чиме се боље штите клијенти.

„Велики произвођачи као што је Microsoft имали су историјски гледано аверзију према награђивању“, каже Дино Даи Зови, консултант и истраживач пропуста. „Више бих волео кад би следили модел који користе Google и Mozilla.“

Он је прошле године заједно с још двојицом колега, Чарлијем Милером и Алексом Сотировом, покренуо иницијативу названу „Нема бесплатних грешака“ (No Free Bugs) којом се предлаже да истраживачима треба платити за њихов рад, јер пропусти у софтверу имају вредност и за произвођача чији је производ изложен ризику и за сиво или црно тржиште.

Даи Зови сматра да истраживачи који бесплатно извештавају о грешкама чине то само док граде репутацију, а како постају искуснији све ређе се одлучују на такав корак, јер су у међувремену стекли клијенте који су вољни да им плате. „Тада није фер према мојим клијентима који ми плаћају за утрошено време да произвођачу бесплатно укажем на проблем.“

Постоје и други начини да се заради на грешкама у нечијем софтверу – легално и уз Microsoftov благослов, чак и кад Microsoft не исписује чекове директно. HP-ov TippingPoint и VeriSignov iDefense су програми типа „паре за грешку“, и они редовно исплаћују новац за уочене пропусте које потом дојављују одговарајућем произвођачу.

Microsoft је у четвртак променио име своје досадашње праксе коју је називао „одговорно откривање“ (responsible disclosure) по којој је истраживач извештавао о грешци а потом ћутао док се не спреми закрпа. У новом предлогу је и ново име – „координирано откривање пропуста“ (coordinated vulnerability disclosure). Microsoft позива истраживаче да известе о грешци на било који начин који им се свиђа.

„Известите о проблему произвођача или CERT-CC или неког другог координатора за кога верујете да ће приватно обавестити произвођача или продајте информацију оном сервису који ће то учинити“, наведено је у саопштењу које је објавио стратешки тим његовог екосистема MSRC. (М.В.)