Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
14/10/2013
Microsoft paga 100.000 dòlars per reportar una fallada en Windows 8.1
Probablement siga una de les quantitats més grans pagades de què tenim constància entre tots els programes de recompensa per haver informat de vulnerabilitats en programari. Cent mil dòlars és una quantitat no gens menyspreable per haver comunicat una sola errada de seguretat en la versió preview de Windows 8.1, per la qual cosa deduïm que el forat de seguretat era especialment crític.
Microsoft va anunciar recentment el pagament d’esta recompensa en un article del seu blog Blue Hat. El beneficiari d'eixa quantitat de diners ha sigut l’investigador britànic James Forshaw, qui ja ha col·laborat activament en este programa informant de forats de seguretat en el navegador Internet Explorer.
"Ens agradaria felicitar James Forshaw per haver descobert una nova tècnica d’explotació i aconseguir la nostra primera recompensa de 100.000 dòlars", va anunciar Microsoft en una declaració. "Coincidint amb esta informació, un dels nostres brillants enginyers en Microsoft, Thomas Garnier, també ha trobat una variant d’esta tècnica d’atac. Els enginyers de Microsoft com Thomas estan avaluant constantment les maneres de millorar la seguretat, però l'informe de James va ser de tal qualitat i tan interessant que volíem premiar-lo amb la recompensa de 100.000 dòlars".
L’extensió d’estos programes de recompensa entre les empreses tecnològiques més importants té una explicació. D’una banda, ajuden a fer que cada vegada més investigadors informen sobre problemes en el programari i puguen obtindre diners en metàl·lic en compensació, cosa que els anima a continuar investigant. D’altra banda, s’evita parcialment que les errades de seguretat es venguen en mercats "alternatius" i que puguen adquirir-les ciberdelinqüents algun govern o agència governamental desitjós d’espiar els seus ciutadans.
Açò s’ha aconseguit en part per les campanyes dutes a terme per diversos investigadors que, farts d'informar de vulnerabilitats sense obtindre'n res a canvi, van exigir (i ho continuen fent) una compensació pel seu treball, cosa totalment justa. Una de les mesures de pressió més poderoses de què disposen estos investigadors és la full disclosure, aplicada quan es fan públics els detalls d’una vulnerabilitat, moltes vegades com a conseqüència de la falta de resposta per part del fabricant davant d’una errada de seguretat.
No obstant això, també hi ha un terme mitjà conegut com a responsible disclosure, en què es proporciona al fabricant informació sobre una errada de seguretat en els seus productes i un termini de temps suficient per a solucionar-la abans de fer-la pública.
Per part dels investigadors, sempre s'agraïx que els seus esforços es vegen recompensats. Els desenvolupadors de programari han d’aprendre a escoltar allò que esta comunitat ha de dir i a apreciar la seua ajuda, ja que açò pot evitar mals majors en el futur si una d’estes fallades de què no s’informa l'aprofiten ciberdelinqüents.