Изменения должны помочь сделать поиск уязвимостей снова привлекательным
бизнесом.
iDefence изменила систему выплаты премий за найденные уязвимости подняв
планку для исследователей кто состязается за деньги в программе нахождения
zero-day эксплойтов. Премии теперь будут выделяться не раз в квартал, как это
делалось до сих пор, а выплачиваться раз в год за лучшие уязвимости которые
будут приняты в рамках Vulnerability Contributor Program.
"Мы хотим сделать поиск уязвимостей более привлекательным." заявил Рик Ховард,
директор по исследованиям iDefence Labs. "Два-три года назад наша система оплаты
хакеров за нахождение уязвимостей была очень привлекательной... но сегодня фокус
сместился от нахождения уязвимостей к тому как работает зловредный код. Основная
активность сейчас в этой области."
Поэтому вместо того чтобы принимать банальные denial-of-service (DOS)
уязвимости как это было раньше, iDefence сейчас ищет работоспособные эксплойты,
которые демонстрируют реальные баги в программах которыми можно воспользоваться,
как например эксплойт который может контролировать или модифицировать программу
Outlook, сказал Ховард.
Покупка эксплойтов у хакеров считается противоречивой практикой - кроме
iDefence только немногие фирмы, такие как TippingPoint с его Zero Day Initiative
и компания Immunity приобретают уязвимости. Фирма WabiSabiLabi предлагает онлайн
аукцион для исследователей для продажи собственных эксплойтов.
Новый ежегодный конкурс iDefence будет награждать тех кто внесёт самый
значительный вклад в течении года. Гран-при составляет $50,000, за ним следуют
первый приз $25,000, второй приз $10,000 и третий приз $5,000. Ховард заявляет,
что компания инвестирует в новый годовой конкурс примерно столько же денег,
сколько выделялось раньше в квартал.
