Microsoft treo thưởng 100.000 USD cho thợ săn lỗi bảo mật

Trong nhiều năm liền, kể cả khi Facebook và Google đều tung ra những chương trình “săn lỗi trúng thưởng lớn”, Microsoft vẫn từ chối trao tặng các khoản thưởng tài chính cho các hacker phát hiện lỗi trong phần mềm của mình. Tới nay, điều đó đã thay đổi. Thậm chí, trong một số trường hợp, phần thưởng của Microsoft còn lớn hơn cả các đối thủ cạnh tranh.

Vào ngày thứ ba vừa qua, Microsoft tuyên bố sẵn sàng trả tới 100.000 USD cho các thông tin liên quan tới các lỗi bảo mật (bug) có thể được dùng để vượt qua hệ thống bảo vệ tích hợp của Windows. Phiên bản Windows đầu tiên nằm trong chương trình này là .1. Với những nhà nghiên cứu có thể tiết lộ thêm các biện pháp phòng ngừa cho các lỗi tương tự, Microsoft sẽ tung thêm 50.000 USD “tiền thưởng phòng thủ” (Defense Bonus) cho mỗi giải pháp được gửi lên.

“Tìm ra được các bug này là hết sức thử thách và đòi hỏi kỹ thuật mới”, Mike Reavey, giám đốc của Trung tâm Phản ứng Bảo mật của Microsoft cho biết. “Do đó việc đưa ra một phần thưởng lớn là cần thiết để làm động lực cho mọi người suy nghĩ”.


Vasilis Pappas, một hacker chiến thắng trong cuộc thi hack của Microsoft năm ngoái

Bên cạnh những phần thưởng 100.000 USD và 50.000 USD nói trên, Microsoft sẽ đưa ra những phần thưởng có trị giá tối đa là 11.000 USD cho các lỗi ảnh hưởng tới các phiên bản thử nghiệm của Internet Explorer 11 – một chiến thuật mới nhằm giảm thiểu số lượng lỗi của trình duyệt này trước ngày phát hành rộng rãi. “Phần lớn các công ty không đưa ra phần thưởng cho việc tìm lỗi phần mềm đang ở giai đoạn beta, do đó nhiều nhà nghiên cứu sẽ giữ kín các lỗi họ tìm ra cho tới ngày các đoạn mã nguồn được tung ra tới các nhà sản xuất”, một bài viết trên blog của Katie Moussouris, chiến lược gia bảo mật cao cấp của Microsoft cho biết. “Tìm ra các lỗi này sớm hơn sẽ là tốt hơn cho chúng tôi và các khách hàng của chúng tôi.”

Các khoản thưởng của Microsoft là khá lớn nếu so với khoản thưởng 20.000 USD mà Google đưa ra cho các lỗi trong các ứng dụng nền web của mình (người khổng lồ tìm kiếm cũng đã từng treo giải 150.000 USD cho các lỗi trong hệ điều hành Chrome OS và 60.000 USD cho trình duyệt Chrome). Mozilla chỉ trao giải 3.000 USD cho mỗi bug. Facebook trao giải thưởng tối thiểu là 500 USD (không giới hạn tiền thưởng).

Sau một tin nhắn được Bill Gates gửi tới các nhân viên của Microsoft trên toàn cầu, Microsoft đã tạo ra được một danh tiếng đáng nể nhờ phối hợp chặt chẽ với cộng đồng nghiên cứu bảo mật, thuê các hacker và tổ chức hội nghị bảo mật Blue Hat tại trụ sở Redmond. Tại hội nghị Black Hat năm ngoái, Microsoft đã trao giải Blue Hat đầu tiên tới các nhà nghiên cứu giúp tìm ra các giải pháp phòng thủ đối với các cuộc tấn công, với tổng trị giá lên tới 260.000 USD.

Vậy tại sao tới giờ phút này người khổng lồ phần mềm mới bắt đầu treo giải thưởng cho cuộc đua tìm lỗi phần mềm. Mike Reavey cho biết lượng báo cáo được gửi tới Microsoft đang ngày càng một dày đặc thông qua những chương trình mua bug khác như Zero Day Initiative (Biện pháp Ngày 0) của HP và iDefense của Verisign – những chương trình trao các giải thưởng tối đa là 10.000 USD cho các lỗi phần mềm. Microsoft cũng bắt đầu ghi nhận sức ảnh hưởng của những chương trình thường niên như Pwn2Own, nơi các hacker có thể nhận giải thưởng lên tới 6 con số nhờ tạo ra các biện pháp tấn công tinh vi nhắm vào các sản phẩm của Microsoft. “Chúng tôi phát hiện ra những biện pháp tấn công tinh vi này một năm một lần thông qua các quộc thi, hoặc tệ hơn nữa, là khi sản phẩm đi vào sản xuất. Chúng tôi muốn tìm ra chúng càng sớm càng tốt và càng nhiều càng tốt”, Reavey cho biết.

Một phần lý do của các phần thưởng mà Microsoft đưa ra có thể là các giải thưởng lớn dành cho các biện pháp tấn công mà các chính phủ và các tổ chức xã hội đen muốn tìm mua để sử dụng nhằm mục đích tình báo hoặc tội phạm. Theo các cuộc phỏng vấn của Forbes vào tháng Ba năm ngoái, một biện pháp tấn công tốt gây ảnh hưởng tới Windows có thể giúp hacker thu về từ 60.000 tới 120.000 USD từ các đơn vị tình báo hoặc hành pháp. Một biện pháp tấn công có thể vô hiệu hóa Windows thông qua Internet Explorer sẽ thu về cho hacker tới 200.000 USD.

Trên blog của mình, Mousssouris cũng ám chỉ tới những người “buôn bug” ít thân thiện nói trên, cho biết chương trình của Microsoft sẽ đem lại cho hacker một cơ hội để thu được phần thưởng có độ lớn tương đương, và rằng phần thưởng cho các biện pháp phòng thủ sẽ khiến việc hack phần mềm tấn công trở nên khó khăn hơn. “Với chương trình trao giải chiến lược được công bố ngày hôm nay và sự hợp tác của ngành phần mềm trong thời gian tới, Microsoft vừa khuyến khích những người muốn cộng tác vừa khiến chi phí dành cho những người không thể tham gia vào chương trình trao thưởng hay các biện pháp khuyến khích khác.”

Theo: VnReview

Bài viết liên quan