Per la prima volta Microsoft ha aperto ai ricercatori esterni la possibilità di segnalare, sotto promessa di pagamento, bug nei software del gruppo di Redmond. Il primo tentativo per il “Microsoft Security Bounty Programs” sembra restituire risultati incoraggianti: è la stessa Microsoft a ringraziare quanti hanno partecipato al programma in questi primi giorni di apertura, lasciando così intendere come il progetto possa avere un seguito.
Il problema è infatti anzitutto una questione di principio: Microsoft non aveva fino ad oggi rimborsato alcuna segnalazione ricevuta poiché considera la sicurezza un problema a cui la stessa etica dei ricercatori dovrebbe fornire una risposta: collaborare è un dovere, insomma, ed il denaro inquinerebbe il rapporto. L’apertura ad una filosofia differente va ora nel senso di quanto posto in essere da gruppi quali Mozilla e Google, mettendo a disposizione specifiche somme di denaro per quanti decideranno di collaborare segnalando al gruppo le proprie scoperte.
Il progetto è basato inizialmente su Windows 8.1 e IE11: ha preso il via il 26 giugno e per 30 giorni consentirà a chi interessato di passare al setaccio il browser alla ricerca di vulnerabilità. Ogni scoperta potrà così essere corretta entro la fase beta, così da portare la nuova release ufficiale sul mercato con maggiori margini di sicurezza per l’utente finale.
Il progetto prevede pagamenti fino a 100 mila dollari per bug critici in Windows 8.1 e fino a 11 mila dollari per bug critici in Internet Explorer 11.
Alcune segnalazioni stanno arrivando da ricercatori noti, mentre altre stanno arrivando da ricercatori che storicamente hanno segnalato tramite il mercato bianco dei broker di vulnerabilità dopo la scadenza del periodo di beta. Questo significa che la nostra strategia per attrarre ricercatori a segnalare direttamente al gruppo prima della release del software stsa già funzionando, ad appena una settimana dal lancio del nuovo programma. Tutti hanno vinto – i ricercatori, i nostri ingegneri, e specialmente i nostri utenti.
Nessun dettaglio ulteriore è stato al momento diramato circa la quantità e la qualità delle segnalazioni ricevute. Si avranno probabilmente approfondimenti in tal senso soltanto al termine della fase beta, quando il browser giungerà sul mercato ed il gruppo potrà così notificare con maggior precisione quanto accaduto nel frattempo dal punto di vista della sicurezza e del rapporto con i ricercatori attivi nel bug bounty program