Con una chiamata collettiva indirizzata ad “amici, hacker e ricercatori”, Microsoft ha annunciato l’avvio di un programma di ricompense per chi scoverà nuovi bug nei software distribuiti dalla corporation. Il piano prevede tre diverse fasce di premio in denaro e può fruttare fino a 100.000 dollari per baco.
La cifra sopraindicata verrà assegnata solo a coloro che saranno in grado di identificare un baco – e realizzare un exploit funzionante capace di sfruttarlo – in Windows 8.1 ( Mitigation Bypass Bounty ), mentre un premio “bonus” di secondo livello (50.000 dollari) sarà assegnato a chi accompagnerà il baco con “idee difensive” in grado di contrastarlo ( BlueHat Bonus for Defense ) e una cifra meno corposa (11.000 dollari) andrà a chi individua vulnerabilità nella versione preliminare di Internet Explorer 11 integrato in Windows 8.1 ( Internet Explorer 11 Preview Bug Bounty ).
Per l’ultima “taglia” Microsoft indica un limite temporale pari a 30 giorni o fino al 26 luglio, mentre per i bachi di Windows non c’è apparentemente alcun vincolo di tempo. Il nuovo approccio Microsoft alla sicurezza segue le iniziative passate ma soprattutto adotta una metodologia – quella dei premi in denaro – già applicata con successo da Google , Mozilla e altri.
Il punto di vista di Microsoft sulla questione sottolinea l’utilità delle taglie sui bachi per “riempire i vuoti nell’attuale mercato e migliorare i nostri rapporti” con la community di ricercatori e “bug hunter”, senza tralasciare il fatto che il risultato finale saranno prodotti software più sicuri per i clienti di Redmond.
Alfonso Maruccia