חברת האבטחה iDefense הודיעה כי תשלם תגמולים כספיים לחוקרים שימצאו פרצות במערכות Windows אשר מיקרוסופט תגדיר אותם בדרגת חומרה "קריטית". המבצע הוא חלק מתוכנית שנויה במחלוקת שהשיקה החברה עוד בשנת 2005 לקבלת מידע בהתנדבות מהאקרים על פרצות. התוכנית, בשם Vulnerability Contributor Program, ניסתה לעודד חוקרים בדרכים שונות למסור מידע חיוני וכיום היא מציעה את ההצעה המפתה ביותר שלה – תשלום של 10,000 דולרים לחושפי הפרצות.
"אנחנו רוצים לעודד חוקרים להתמקד בנקודות שחשובות ללקוחות שלנו", אמר אדם גרין. "אנו רוצים לגרום לאנשים להתלהב מתוכנית ה-VCP שלנו. פרצות במערכות Windows הן הבעיה העיקרית של החברה מכיוון שמרבית הלקוחות שלנו משתמשים במערכות אלו", הוא הוסיף. האקרים שירצו להשתתף בתוכנית יהיו מחויבים לחתום על העברת כל הזכויות על פרסום הפרצה ל-iDefense. לדברי גרין, המבצע הנוכחי יסתיים ב-31 במרץ, אך צפויים מבצעים דומים גם בהמשך. בכל רבעון החברה תקבע מבצע שונה עם תעריפים שונים. "עדיין לא קבענו את התעריפים לגבי הרבעונים הבאים", אמר גרין, "חשוב לנו שהמבצע כל פעם יהיה שונה כדי למשוך את התעניינותם של האנשים".
מיקרוסופט לא מאוד מרוצה מההסדר הזה. דובר החברה אמר שזו לא הדרך הכי טובה לאבטח את מוצרי התוכנה שלהם. "אנחנו לא חושבים שתשלום בעד מסירת מידע על פרצות זו הדרך הטובה ביותר להגן על לקוחותינו", הוא אמר בראיון למגזין eWEEK. "מיקרוסופט מאמינה שחשיפת הפרצות בצורה האחראית
ביותר צריכה להיעשות כאשר החושף מוודא קודם שקיים עדכון אבטחה ממוכר התוכנה, זו הדרך הטובה ביותר להגן על משתמשי הקצה".
"זה מטשטש את הגבולות בין האקרים אפורים, לבנים ושחורים" אמר מיק פוטרבוט, סגן נשיא השיווק של חברת האבטחה eEye Digital Security, המתחרה של iDefense. "זה יכול לגרום ליצירת שוק של סחר בפרצות ולגיטימציה לפעילים בשוק השחור", הוא אמר. גרין טוען מנגד שהחברה לא מתעסקת עם קבוצות חוקרים שיש ידע לגביהם שהם עושים פעולות לא חוקיות. להפך, אומר גרין, "הרבה מהאנשים האלו לא מתעניינים כלל בכסף, אבל הם לא רצו להתעסק עם מוכרי התוכנות כי הם לא התייחסו אליהם בעבר".
לדברי גרין, הסכנה הקיימת היא שהידע על פרצה מסוימת יהיה בידי מספר אנשים, אשר חלקם לא יהיו חלק מקבוצת החוקרים המדווחים. שום פרצה מהפרצות שפריסמה החברה לא נוצל עד היום בצורה זדונית, הוא טוען. פוטרבוט אמר בתגובה "ל-iDefense יש כוונה טובה, אבל תמלוגים בעד מידע על באגים יכול להיות מדרון חלקלק". iDefense טוענת שחשפה 150 פרצות בשנת 2005 הכוללים גם פרצות באחד עשר מוצרים של מיקרוסופט. שלוש מהפרצות שדווחו למיקרוסופט היו בדרגת חומרה קריטית. מידע על תוכנית VCP תוכלו למצוא באתר הבא.
לחלוק, לשתף, לעורר השראה ולהעצים מנהלי מידע, זה המוטו של
קובי שפיבק Bsc ו- MBA. קובי הוא מורה דרך טכנולוגי שמלווה את עולם המחשוב: כתכנת, מהנדס, מנהל, יזם, עיתונאי, יועץ ומרצה, משנת 1976. כעורך הראשי של תחקירי pCon הוא כתב וערך ב-19 השנים האחרונות, למעלה מ-960 תחקירים מקצועיים, שמסייעים למנהלי מחשוב במאות ארגונים, ליהנות מיותר עניין, זמן פנוי וכסף זמין.
מנהלי מחשוב, שמעוניינים לקרוא או להפנות לקובי שפיבק שאלות מקצועיות, מוזמנים לעשות זאת במסגרת תשובות המומחה.
אם לא מצאת שירות זה כשימושי, בבקשה ספר לנו.
אם אתה כן נהנה מהשירות שתף חברים שגם להם הוא יכול לעזור.
תחשוב על החיוך, הסיפוק, ההרגשה הטובה, כשגם רעך ייהנה כמוך והמלץ עכשיו.
מה מייחד את "בראש החדשות" של pCon-line? - כמה חדשות חשובות באמת בתחומי המחשוב ואינטרנט אתה זוכר מהשנה האחרונה? (תן מספר מדויק). pCon-line ממיין ומסנן מאות חדשות ומפרסם את החדשה החשובה ביותר. כך מספיקה דקה ביום להתעדכן ולהתמקד ב-250 החדשות החשובות, רלוונטיות ושימושיות ביותר שהתפרסמו השנה. לכן, הוסף עכשיו את "בראש החדשות"
למועדפים או ל-RSS, התעדכן בפייסבוק או בטוויטר.
הכר האתר
לחלוק, לשתף, לעורר השראה ולהעצים מנהלי מידע, זה המוטו של
קובי שפיבק Bsc ו- MBA. קובי הוא מורה דרך טכנולוגי שמלווה את עולם המחשוב: כתכנת, מהנדס, מנהל, יזם, עיתונאי, יועץ ומרצה, משנת 1976. כעורך הראשי של תחקירי pCon הוא כתב וערך ב-19 השנים האחרונות, למעלה מ-960 תחקירים מקצועיים, שמסייעים למנהלי מחשוב במאות ארגונים, ליהנות מיותר עניין, זמן פנוי וכסף זמין.
