ПУНТА КАНА — Программа Microsoft по вознаграждению за найденные ошибки в программном обеспечении, начатая в прошлом году для того, чтобы побудить исследователей разрабатывать новые методы атаки и защиты, была признана успешной, и компания ищет новые пути для дальнейшего развития темы. Кэти Муссурис, стратег по информационной безопасности, ответственный за создание программы, заявила, что, хотя основной целью программы было вознаградить исследователей за инновационную работу, частью плана было также всколыхнуть рынок уязвимостей.

Муссурис работала над программой вознаграждения еще до ее запуска в прошлом году, и она уделила пристальное внимание не только тому, как работают другие подобные программы, но и тому, как оперирует легальный рынок уязвимостей. Покупатели и продавцы уязвимостей на протяжении многих лет действовали в основном подпольно, но в последние пару лет это изменилось благодаря тому, что компании вроде VUPEN превратили продажу багов в быстрорастущий бизнес.

Продукты Microsoft всегда вверху списка как для злоумышленников, так и для безопасников, и Муссурис пыталась найти способ для того, чтобы Microsoft получала ценные методы атак вместо продавцов уязвимостей или злоумышленников.

«Мы никогда не собирались перебивать цены черного рынка. Смысл в том, чтобы использовать имеющиеся рычаги, чтобы разрушить экономику уязвимостей», — сообщила Муссурис в понедельник в ходе обсуждения на саммите вирусных аналитиков «Лаборатории Касперского».

Исследователи в области безопасности, которые ранее обладали ограниченным выбором средств для монетизации своей работы по поиску уязвимостей, теперь получили массу возможностей. В зависимости от имеющихся контактов и прочих факторов исследователи могут продавать баги любому количеству правительственных агентств, кибероборонительным подрядчикам или третьим лицам. Программа вознаграждения за обнаруженные баги дает еще одну возможность заработать, но в целом гораздо менее прибыльную. Microsoft пытается сделать этот вариант более привлекательным, предлагая награду до $100 тыс. за описание метода атаки, который позволяет обойти систему отражения эксплойтов в последней версии Windows. Компания уже выплатила одну такую награду и недавно расширила список возможных участников, включив туда команды киберкриминалистов и группы реагирования на инциденты.

Есть еще несколько потенциальных расширений программы вознаграждения Microsoft, как намекнула Муссурис в обсуждении, но никаких дополнительных деталей она не сообщила.

Муссурис сказала, что круг исследователей, способных находить подходящие техники взлома, относительно узок, а та часть этого круга, которая хочет отдавать их Microsoft, еще меньше.

«Есть, возможно, лишь тысяча человек в мире, которые могли бы делать работу такого типа, — рассказала она, — и лишь несколько сотен из них, которые могли бы работать с Microsoft».

В индустрии информационной безопасности было немало дискуссий о продажах эксплойтов и потенциальном регулировании рынка, но, как сказала Муссурис, по ее мнению, это было бы ошибкой.

«Я сказала начальству, что я бы не хотела регулировать эксплойты потому, что это ослепит меня, — заявила она. — Этим путем вы добьетесь лишь того, что о новых атаках вы будете узнавать после того, как они обрушатся на ваших клиентов».

Категории: Кибероборона, Уязвимости, Хакеры