Microsoft ha annunciato un’iniziativa dedicata a ricercatori di sicurezza e hacker di tutto il mondo, il cui scopo è l’individuazione di vulnerabilità in Windows 8.1 Preview, la versione del sistema operativo che l’azienda di Redmond distribuirà il prossimo 26 giugno nel corso della conferenza Build 2013. I “cacciatori di bug” riceveranno un premio in denaro per ogni falla scoperta e un ulteriore bonus se verrà suggerito un metodo per mitigare l’effetto dell’exploit. Un analogo compenso verrà assegnato per ogni vulnerabilità scoperta in Internet Explorer 11 Preview.
I tre programmi, che avranno inizio la prossima settimana, rappresentano il primo contest organizzato da Microsoft per incentivare la ricerca di bug nei suoi prodotti. Aziende concorrenti, tra cui Google e Facebook, da tempo premiamo coloro che scoprono bug prima della loro diffusione e vendita sul mercato nero. Il prezzo pagato per una vulnerabilità critica è piuttosto elevato, in quanto i software moderni utilizzano tecniche di sicurezza, come la Data Execution Prevention (DEP) e la Address Space Layout Randomization (ASLR), che rendono costosa e complessa la realizzazione di un exploit.
Il Mitigation Bypass Bounty prevede un premio fino a 100.000 dollari per i ricercatori di sicurezza che segnaleranno nuovi metodi per sfruttare una vulnerabilità scoperta in Windows 8.1 Preview. Un esempio può essere un exploit che corrompe la memoria, superando le difese DEP e ASLR, ed esegue codice remoto nel dominio dell’applicazione utente. Microsoft pagherà altri 50.000 dollari se verrà fornita una chiara spiegazione sui metodi adatti a ridurre gli effetti dell’exploit (BlueHat Bonus for Defense).
Il terzo programma, Internet Explorer 11 Preview Bug Bounty, è invece riservato esclusivamente all’ultima versione del browser Microsoft installata in Windows 8.1 Preview. In questo caso, la somma elargita varia da un minimo di 500 dollari ad un massimo di 11.000 dollari, in base alla gravità delle vulnerabilità scoperte. I primi due programmi non hanno una scadenza, mentre il terzo ha un periodo di validità compreso tra il 26 giugno e il 26 luglio 2013.