据国外媒体6月23日报道,多年来,微软一直拒绝为找出其软件安全漏洞的研究者们提供金钱奖励,尽管谷歌和Facebook一直都在逐渐提高所谓“漏洞奖金”项目的奖励额度。现在这一软件巨头突然改变了想法——有时给出的奖金甚至高于后两家竞争对手。
微软上周宣布,愿意对关于Windows安全漏洞的信息支付最高10万美元的奖金,就从本月末即将发布的Windows 8.1预览版开始。对于能为阻止类似漏洞日后被利用而提供新防御技术的研究者们,微软将为每份方案提供价值5万美元的额外“防御奖金”。
“发现一个漏洞是极具挑战性的,他们需要一项新技术。”微软安全响应中心总监迈克 里维说,“所以要让人们在这一领域费些脑筋的确需要高额奖金的激励”。
除了这些10万和5万美元的大奖之外,微软还将为影响IE 11预览版的漏洞支付1.1万美元,这项策略是为了在该软件向消费者广泛发布前修复漏洞。“(大多数公司)不会设奖寻找测试版软件的漏洞,所以一些研究者就会守到软件发布投产时才将漏洞公布。”微软高级安全分析师凯蒂 牟索利斯在一篇关于漏洞奖金项目的博客文章中写道,“对于我们及我们的客户来说,这些漏洞总是发现得越早越好”。
与微软相比,谷歌对发现其网络应用中的漏洞仅提供了2万美元的奖金,尽管该搜索公司的确曾在今年1月的一次大赛中对Chrome操作系统中的一个漏洞重奖15万美元,并在前一年为Chrome浏览器中的漏洞支付了6万美元。Mozilla公司为其软件漏洞提供了3000美元奖金。Facebook提供的最低奖励为500美元,但是没有明确其上限。
那么微软为什么现在才开始悬赏自己软件中漏洞呢?里维表示,微软一直通过第三方漏洞购买项目获得越来越多的漏洞报告,这些项目包括惠普旗下的“零时差计划”(Zero Day Initiative)和威瑞信(Verisign)的iDefense——后者购买漏洞的费用高达1万美元并向软件供应商报告漏洞。微软还看到了一些赛事活动的影响,如一年一度的Pwn2Own黑客大赛——黑客们先是找到微软产品的高级漏洞,然后再揭秘自己的技术,为此有时能获得6位数的奖励。
微软之所以推出该项目,部分诱因也可能是:在由打算利用漏洞开展间谍或犯罪活动的政府以及黑市买家所构成的另一个圈子里,奖励破解技术的力度不断加大。根据去年3月我所做的一次采访,一个影响Windows系统的有效漏洞能帮黑客从情报或执法机构那里赚得6万到12万美元不等,而一个能通过IE全面攻破一台Windows电脑的漏洞可以赚到高达20万美元。
