Производители браузеров диаметрально противоположным образом реагируют на проблемы с безопасностью их продуктов. В то время как Microsoft не жалеет средств на полицейское преследование авторов вирусов, организация Mozilla Foundation решила разрубить Гордиев узел проблем с безопасностью своих браузеров посредством выплат премий всем, кто обнаружит в ПО разработчика серьёзные уязвимости.
Сообщение о том, что организация Mozilla Foundation запустила программу по выплате премий в размере $500 каждому, кто обнаружит уязвимости в её ПО, было сделано неделю спустя после того, как компания официально подтвердила, что при работе с сертификатами безопасности в браузерах Mozilla и Firefox наблюдаются серьезные проблемы. Авторами новой инициативы, получившей название Mozilla Security Bug Bounty Program, выступили компания Linspire, производящая ПО для Linux, и известный интернет-предприниматель Марк Шаттлворт (Mark Shuttleworth).
Митчелл Бейкер (Mitchell Baker), президент Mozilla Foundation, так прокомментировал появление премиальной программы: «Недавние события продемонстрировали необходимость принятия подобных мер. Новая программа позволит нам своевременно выявлять проблемы с обеспечением безопасности, давая нашим помощникам возможность заранее находить имеющиеся уязвимости. Это, в свою очередь, позволит нам вовремя приступить к их исправлению – прежде, чем ими успеют воспользоваться злоумышленники». Технический директор Mozilla Foundation Крис Хофман (Chris Hofmann), заявил: «Вступая во второй год нашего существования, мы оглядываемся назад и определяем приоритеты на следующий год. Безопасность – это та область, к которой мы относимся вполне серьезно и хотели бы, чтобы дела двигались». Он добавил, что фонд попытается привлечь к реализации программы новых участников.
По словам г-на Хофмана, Mozilla обеспечивает вполне приемлемый уровень безопасности, даже несмотря на обнаруженные уязвимости. Некоторые оппоненты, правда, утверждают, что в ней уязвимых мест не меньше, чем в браузере Microsoft – просто последний распространен гораздо шире. «Расхожее суждение состоит в том, что имей Mozilla тот же рынок, что и Microsoft, дыр в этом ПО было бы найдено не меньше. Однако мы не видим оснований для такого вывода», - считает г-н Хофман.
В настоящее время лишь немногие фирмы предлагают денежное вознаграждение за обнаруженные в их ПО уязвимости. Почти всегда подобные предложения исходят от компаний, специализирующихся в области информационной безопасности, и касаются продуктов разных производителей. Награды стимулируют, в частности, потенциальных взломщиков использовать весь арсенал имеющихся в их распоряжении средств, чтобы быстро получить деньги, испытывая тем самым системы максимально пристрастно.
Конечно, $500 – довольно скромная сумма, это признает и сам г-н Хофман. Тем не менее, по его словам, об увеличении размера награды речь пока не идет. «Это в большей степени способ выразить благодарность тем, кто помогает обеспечивать безопасность наших продуктов», - подчеркнул он.
Корпорация Microsoft выплачивать премии за обнаруженные в своем ПО "дыры" пока что не решилась. Однако в начале 2004 года компания выделила три гранта, размером $250 тыс. каждый, на выслеживание авторов компьютерных вирусов.
Сбалансированная диета для серого вещества