A meno di un mese dall’avvio del programma di incentivazione dei cacciatori di bug, Microsoft ha reso noto sul blog aziendale Blue Hat di aver assegnato i primi riconoscimenti pecuniari a chi ha fornito informazioni utili alla scoperta e risoluzioni di potenziali problemi di sicurezza nei software prodotti a Redmond. E il primo nome a trapelare tra i beneficiari dei primi assegni è quello del googler Ivan Fratric , ironia della sorte.
Congratulations @ifsecure on being the first to qualify for an #MSBounty !:-)
— Katie Moussouris (@k8em0) July 11, 2013
È stato lo stesso Fratric a rendere nota la questione tramite un cinguettio sul proprio account, a cui ha risposto lo stesso autore del post ufficiale, ovvero Katie Moussouris, facendogli le congratulazioni. Non è ancora chiaro quale sia l’importo della taglia che BigM ha pagato al tecnico di BigG, nè se sia il suo sia stato il primo bug sottoposto all’attenzione del nuovo programma, ma la questione sicurezza resta ancora al centro dei rapporti tra Redmond e Mountain View. Non s’è ancora sopita infatti la polemica che ha visto contrapposte le due aziende per quanto scoperto da Tavis Ormandy nel kernel di Windows .
Solo lo scorso martedì Microsoft è riuscita a mettere una patch al buco individuato da Ormandy, altro googler, che ne aveva divulgato i dettagli a inizio giugno . Per i suoi dipendenti Google ha elaborato una policy aziendale che concede alla concorrenza appena 7 giorni dalla comunicazione di un problema di sicurezza per prendere le dovute cautele, prima di rendere pubblica la questione: una scelta improntata alla trasparenza e per spingere le controparti a una efficiente gestione dei bug, soprattutto se coinvolgono la sicurezza, ma che non ha mancato di causare qualche attrito con gli altri grossi nomi del firmamento IT .
In seguito alle rilevazioni di Ormandy, ma la vicenda è parecchio intricata ed è difficile a posteriori stabilire torti e ragioni, Microsoft ha fatto sapere che alcuni PC equipaggiati coi suoi software sono stati vittima di attacchi legati alla vulnerabilità resa pubblica. La questione ha insomma di nuovo portato in primo piano l’annosa difficoltà delle grandi aziende strutturate nel reagire rapidamente alle segnalazioni dei tecnici che scoprono bug nei loro software , contrapposta al desiderio degli scopritori di informare rapidamente il pubblico per consentire a tutti di prendere le adeguate contromisure. Il nuovo programma di incentivazione economica dovrebbe servire proprio a convincere gli esperti a interfacciarsi prima di tutto con Microsoft: ma è quasi certo che non si tratta dell’ultimo braccio di ferro che si vedrà in questo settore.
Luca Annunziata
Ti potrebbe interessare
15 lug 2013