Microsoft предлагает более $250 000 исследователям, которые разрабатывают
новые средства для защиты пользователей Windows от атак, эксплуатирующих баги в
ПО.
В рамках программы
Blue
Hat Prize, объявленной Microsoft в среду на конференции безопасности Black
Hat, будет выплачено $200 000 за лучшую "новую динамическую технологию защиты,
разработанную, чтобы предотвратить эксплуатацию уязвимостей, связанных с
доступом к оперативной памяти компьютера". Два участника соревнования, занявших
второе место, получат $50 000 и подписку MSDN Universal, оцененную в $10 000.
"Соревнование Microsoft BlueHat Prize создано для генерации новых идей в
защите компьютерной безопасности", - гласит сообщение от производителя ПО. "В
рамках нашей приверженности к безопасному использованию компьютеров, мы надеемся
вдохновить исследователей безопасности на разработку новых решений,
ориентированных на устранение серьезных угроз".
Microsoft за годы работы добавила многочисленные средства защиты для своего
ПО, разработанные с целью снижения риска повреждений, которые могут быть
нанесены хакерами, когда те обнаружат переполнения буфера и другие баги,
неизбежно затрагивающие какой-либо сложный фрагмент кода. Некоторые из примеров:
ASLR, или
address space layout randomization;
DEP, или data
execution prevention;
SEHOP, или structured exception handling overwrite protection; и
SafeSeh.
Данные средства защиты не нацелены на
предотвращение ошибок, скорее на
предотвращение последствий их эксплуатации злоумышленниками, стремящимися
украсть данные или удаленно выполнить на уязвимых системах вредоносный код.
"Это первый и крупнейший поощрительный приз, когда-либо предлагаемый
Microsoft, и возможно индустрией, за технологию компьютерной безопасности", -
написал Матт Томлинсон, генеральный менеджер Microsoft Trustworthy Computing
Group. "Во время постоянно растущих атак на персональные, корпоративные и
правительственные системы, Microsoft признает необходимость поощрения и
стимулирования инноваций в области снижения рисков".
Объявление в среду было сделано неделей после того, как компания
Facebook присоединилась к Mozilla и
Google в выплате премий исследователям, которые лично сообщают об
уязвимостях в их ПО и сервисах. Microsoft упорно отказывается оплачивать
искателям багов время и опыт, которые они отдают, чтобы помочь в искоренении
уязвимостей на платформе Windows.
