10.000 USD cho ai phát hiện lỗi bảo mật Windows

Hãng bảo mật iDefense trong tuần này sẽ khởi động chương trình tặng giải thưởng 10.000 USD cho bất kì nhà nghiên cứu nào phát hiện được các lỗi bảo mật nghiêm trọng trong hệ điều hành Windows.

Đây là một chương trình hoàn toàn mới của iDefense – một hãng bảo mật nổi tiếng, luôn dốc hầu bao chi trả cho bất kì ai phát hiện được các lỗi bảo mật trong hệ điều hành nổi tiếng này.

Giải thưởng mới này của iDefense là một sự bổ sung cho chương trình Vulnerability Contributor Program (VCP) gây nhiều tranh cãi mà hãng bảo mật này đã khởi động trong năm 2005.

“Chúng tôi muốn thu hút những người quan tâm và thích thú với chương trình (VCP),” Adam Greene – trợ lý giám đốc iDefense – cho biết.

“Và chúng tôi muốn khuyến khích các nhà nghiên cứu tập trung vào những gì quan trọng đối với khách hàng của chúng tôi. Những lỗi bảo mật trong Windows là một lựa chọn mà chúng tôi cho là đúng, bởi vì có quá nhiều khách hàng của chúng tôi sử dụng hệ điều hành này,” Green nói.

Để nhận được giải thưởng 10.000 USD lần này của iDefense, các nhà nghiên cứu phải gửi các phát hiện liên quan đến lỗi bảo mật của Windows, mà chưa thông báo cho bất kỳ một ai, về cho hãng bảo mật, trước ngày 31-03-2006.

Nếu những lỗi bảo mật này sau đó được Microsoft xếp vào mức “Cực kì nghiêm trọng” (Critical) – mức cao nhất trong hệ thống 4 mức xếp hạng bảo mật của Microsoft – thì người phát hiện sẽ nhận được giải thưởng 10.000 USD.

Ba tháng một lần, iDefense sẽ thay đổi tiêu chuẩn để nhận được giải thưởng 10.000 USD. “Chúng tôi muốn thay đổi tiêu chuẩn vì chúng tôi muốn giữ chân những người thích thú với chương trình VCP. Chúng tôi hiện vẫn chưa xác định được tiêu chuẩn cho quí tiếp theo,” Greene cho biết.

“Tuy nhiên là một nhà kinh doanh thiết bị bảo mật, chúng tôi vẫn mong chỉ tập trung vào một loại lỗi bảo mật nhất định hay một loại sản phẩm nhất định. Đó có thể là trình duyệt web hay ứng dụng thư điện tử.”

Không chỉ có iDefense là thực hiện việc thưởng cho người phát hiện ra các lỗi bảo mật. TippingPoint – một bộ phận của 3Com – cũng là một chương trình tương tự, đã trao giải thưởng cho Zero Day Initiative. Trong khi đó Mozilla cũng sẵn sàng trả 500USD cho bất kì ai phát hiện được lỗi trong các phần mềm mã nguồn của mở của hãng này.

Tuy nhiên, những chương trình này lại chỉ nhận được sự phê phán của nhiều hãng bảo mật khác.

“Những kiểu trao giải thưởng như thế này chỉ làm xóa nhòa đi gianh giới giữa mũ trắng, mũ đen và mũ xám – những cụm từ quen thuộc trong thế giới hacker,” Mike Puterbaugh – phó chủ tịch phụ trách quảng bá sản phẩm của eEye Digital Security – phát biểu. “Chúng chỉ góp phần tạo nên một thị trường các lỗi bảo mật cũng như hợp pháp hóa thị trường chợ đen.”

Tuy nhiên, iDefense phản đối lại quan điểm đó và cho rằng: “Chúng tôi không làm việc với bất kì nhóm nào hay nhà nghiên cứu nào có những hành vi bất hợp pháp. Nhưng bên cạnh đó vẫn còn có rất nhiều người thích thú với vấn đề này mà không phải là tiền.”

Bên cạnh đó, việc chúng tôi treo giải thưởng như thế này có thể giúp phát hiện ra rất nhiều các lỗi bảo mật nguy hiểm chưa từng được công bố, Green nói. Chúng ta phải luôn luôn giả định một điều là các lỗi bảo mật không chỉ nằm trong tay một người. Lấy ví dụ như trong các lỗi bảo mật mà iDefense đã trả thưởng cho người phát hiện trong năm 2005, đã có các phần mềm lợi dụng khai thác.”

Thực sự đây vẫn còn là một đề nằm trong quan điểm kinh doanh của các hãng khác nhau. Chúng ta là người dùng, đồng thời cũng là người hưởng lợi chính từ những nhà kinh doanh này. Đối với chúng ta, hướng kinh doanh nào chúng ta cũng nhận được lợi nhiều nhất ở khả năng được bảo vệ tốt hơn.

Theo VnMedia/Techweb

Video đang được xem nhiều

Cùng chuyên mục

Xem thêm Công nghệ

Mới - Nóng

Khám phá