Facebook ma zamiar płacić hakerom za odkrywanie a następnie zgłaszanie bezpośrednio do firmy luk w zabezpieczeniach serwisu. Hakerzy dostaną wynagrodzenie wtedy i tylko wtedy, gdy błąd zostanie przesłany bezpośrednio do obsługi nie rozpowiedziany na forach dyskusyjnych czy grupach. Tym samym Facebook dołącza do grona firm stosujących podobne programy – Mozill i Google.
Stawka wyjściowa to 500$ za znalezienie błędu w kodzie (na przykład umożliwiającego dokonanie ataku XSS) – jeśli luka okaże się groźniejsza to osoba, która ją odkryła może liczyć na wyższe wynagrodzenie. Moim zdaniem 500$ to niezbyt wysoka kwota i haker – o ile nie będzie mieć później wyrzutów sumienia – może takową lukę wykorzystać do własnych celów i zbić niezłą fortunę, bądź informacje o niej odsprzedać komuś, kto da o wiele więcej (na przykład spamerom).
Facebook otworzy specjalny portal o nazwie Whitehat, który będzie swoistym bugtrackerem zrzeszającym społeczność “wykrywaczy luk”. Redaktor na jednym z zagranicznych serwisów twierdzi, że płacenie za zgłaszanie błędów w kodzie jest idealnym sposobem by zapobiec upublicznianiu wykrytych przez hakerów problemów, niezłym startem do zajmowania się lokalizacją bugów w przyszłości (i zarabianiu na tym) oraz możliwość, by stać się sławnym – przy okazji odkrycia większego błędu portale powinny o tym napisać. Podchodzę do tego bardzo sceptycznie o czym pisałem w poprzednim akapicie. Możliwe, że młodzi hakerzy zechcą nieco zarobić jednak doświadczone jednostki… cóż… czy skorzystają z takiej oferty? Może, gdyby kwotą wyjściową było 5.000$?
Google już płaci
Po sukcesie, jaki osiągnął Google’owy program zgłaszania błędów w przeglądarce Chrome, firma postanowiła rozszerzyć ten program na wszystkie swoje usługi w listopadzie ubiegłego roku. Jak i w przypadku Facebooka stawką wyjściową jest 500$ – granicą zaś 3134$. Wysokość nagrody zależy od tego jak groźna była znaleziona luka.
Mozilla także płaci, Microsoft nie
Mozilla płaci za wykrywanie błędów w ich oprogramowaniu już od 2004 roku. Za zgłoszenie buga można zgarnąć 500$.
Microsoft w odróżnieniu od trzech wyżej wymienionych firm nie zamierza płacić hakerom ani grosza. To dziwne, bo programy Google i Mozilli sprawdzają się ponoć znakomicie. Microsoft śpi na pieniądzach lecz osobom, które wykryją luki nic nie zapłaci. Może to i dobrze? W pewnym momencie, gdy po sieci zaczną krążyć informacje na temat groźnych luk i firma zacznie odnotowywać straty nauczy się pokory. Szkoda tylko, że kosztem bezpieczeństwa nas wszystkich.
Jerry Bryant – szef programistów w Microsofcie pisał: “Doceniamy ekosystem badaczy, ale nie uważamy, że płacenie za wykryte podatności jest dobrym pomysłem.”. Hakerzy zamiast pieniędzy mogą jednak zostać zatrudnieni w najlepszych działach firmy. Najlepsi z nich mogą liczyć na doskonałe zarobki i długie kontrakty, ci słabsi utrzymają krótkoterminowe kontakty.