מיקרוסופט: אל תשלמו להאקרים
חברת האבטחה iDefense מציעה בונוס של 10,000 דולר למי שימצא פרצות קריטיות בתוכנות מיקרוסופט, שמצידה מאוד לא מרוצה מזה
חברת iDefense, שעוסקת במודיעין אבטחת מידע למען חברת האם וריסיין הכריזה על יוזמה לפיה היא תשלם בונוס שמן להאקרים שיאתרו פרצות אבטחה במוצרי מיקרוסופט. האחרונה הביעה חוסר שביעות רצון מהמצב החדש. דיווח של eWeek.
iDefense, הנוהגת לשלם להאקרים עבור איתור פרצות אבטחה, הודיעה לאחרונה כי תעניק בונוס בסך עשרת אלפים דולר על כל איתור של פירצת אבטחה בתוכנות של מיקרוסופט. יצויין כי הסכום ישולם בנוסף לתעריף הרגיל שמשלמת iDefense עבור גילויין של פרצות אבטחה.
שני התנאים לתשלום הבונוס הם שהפרצות יאותרו עד סוף הרבעון הנוכחי, המסתיים בחצות ה-31 במרץ וכן שמיקרוסופט תפרסם עבור אותה פירצה הודעה רשמית על פיה מדובר בפירצת אבטחה קריטית. פירצה "קריטית", על פי ההגדרות של מיקרוסופט, היא כזאת שניתן לנצל אותה ללא צורך בפעולה אקטיבית של משתמש הקצה ואשר מאפשרת התפשטות של תולעים.
פרצות אבטחה - עסק משגשג
בהודעה של מיקרוסופט המבקרת את המבצע החדש, נאמר כי בחברה "לא מאמינים שתשלום עבור מידע על פרצות הוא הדרך הטובה ביותר שבה חוקרים יכולים להגן על לקוחות". על פי מיקרוסופט, הדרך הנכונה היא גילוי אחראי של הפרצות, שאומר שפרטי הפירצה מתפרסמים במקביל לטלאי שמתקן אותה ולא לפני.
בתגובה להודעת מיקרוסופט, הגן מייקל סאטון, חבר דירקטוריון ב-iDefense, על התוכנית בראשה הוא עומד וטען כי החברה כן תומכת בעקרון של גילוי אחראי ושומרת במקום בטוח את המידע שמתקבל אודות פרצות חדשות. לדברי סאטון, המטרה של המבצע הוא לגרום ל"תורמים" של iDefense (אלו שמגלים את הפרצות) למקד את מאמציהם בכיוונים מסויימים. "יש לנו לקוחות רבים המשתמשים במוצרים של מיקרוסופט שמעוניינים להתגונן מפני פרצות קריטיות".
עסקי מציאת פרצות האבטחה סיפקו עד כה ל-iDefense תעסוקה ופירסום רבים. בשנה שעברה, למשל, דיווחה החברה על 150 פרצות אבטחה, 11 מתוכם במוצרי מיקרוסופט.
"תקדים מסוכן"
ואולם, הוויכוח על המבצע של iDefense, חורג מעבר לשאלה האם ראוי שחברה חיצונית תסחור במידע מסוכן על פרצות אבטחה בתוכנות של חברה אחרת. אחת התיאוריות, אותה דוחה סאטון לחלוטין, היא שתשלום עבור מידע שכזה גורם להאמרת מחירים בשוק של גילוי פרצות האבטחה, מה שאומר שכעת כל החברות יאלצו לשלם בעבור מידע על פרצות במוצרים שלהן. לדבריו, "המודל היחידי שאין בו היגיון הוא המודל האלטרואיסטי, לפיו יצרן תוכנה מצפה שחוקרים יבדקו את המוצרים שלו חינם אין כסף".
אבל לא כולם שותפים לדעתו של סאטון. אחד מהם הוא פיטר מל, המנהל את מאגר המידע הלאומי של פרצות האבטחה (NVD) במכון הלאומי לסטנדרטים וטכנולוגיה (NIST). לדעת מל, הענקת תמריצים להאקרים על מנת שירכזו את מאמציהם ביצרן אחד, יוצרת תקדים מסוכן.
הטענה של מל היא שגילוי אחראי של פרצות הוא דבר טוב לכשעצמו, אולם תשלום בונוסים שמנים על כך רק יביא לעליית מחירים בשוק שגם כך הינו רווחי למדי. טענה נוספת של מל היא שסיוע למיקוד תשומת הלב של ההאקרים ביצרן תוכנה מסויים, יכול לגרום לכך שצד שלישי, שברשותו הרבה כסף, עלול להביא לחוסר יציבות במחיר המניה של חברה הנסחרת בבורסה, על ידי מיקוד תשומת הלב ההאקרית דווקא בה.