La sicurezza ha un prezzo, e Mozilla ha deciso che è giunto il momento di rivederlo: per incentivare gli utenti alla ricerca di bug e problemi relativi ai propri software, la società statunitense ha infatti incrementato il compenso previsto dal Security Bug Bounty Program. Il progetto, nato nel 2004, prevede ora una ricompensa di 3000 dollari, quasi 6 volte quanto Google promette a coloro che riescano ad individuare le vulnerabilità nei software realizzati a Mountain View.
Per ricevere la ricompensa da Mozilla è necessario però riuscire a scoprire determinati tipi di bug, considerati di priorità alta o critica dagli sviluppatori. I criteri di selezione sono disponibili nelle FAQ del Bounty Program: le vulnerabilità critiche sono quelle grazie alle quali un eventuale malintenzionato sia in grado di eseguire codice all’interno del sistema della vittima a proprio piacere, ottenendo dunque pieno accesso alla macchina, mentre sono considerate ad alta priorità quelle che mettono a rischio i dati personali degli utenti.
Lucas Adamski, direttore del comparto sicurezza di Mozilla, ha dichiarato che «molte cose sono cambiate nei sei anni trascorsi dal lancio del programma di sicurezza Mozilla, e riteniamo che il miglior modo per rendere sicuri i nostri utenti sia quello di sostenere economicamente coloro che fanno attività di ricerca in questo settore». E 3000 dollari possono essere considerati un incentivo più che sufficiente.
Le applicazioni che rientrano nel programma di sicurezza sono il browser Firefox, inclusa la versione mobile, il client di posta elettronica Thunderbird, e tutti i servizi sui quali si basano questi due software. Niente da fare, invece, per la Mozilla Suite, la cui fine è ormai stata decretata nel 2005. Sarà inoltre possibile essere ricompensati per bug scoperti sia sulle versioni finali delle applicazioni appena citate, sia sulle versioni Beta o Release Candidate. Chiaramente, la vulnerabilità non deve essere già stata segnalata in precedenza.
Dalle FAQ è possibile evincere che, a differenza di altri programmi di sicurezza come ad esempio quello messo in atto da HP, dopo aver segnalato un bug non è necessario tacere a riguardo fin quanto non è stata trovata una soluzione. L’intento di Mozilla è infatti quello di garantire ai propri utenti software sicuri ed affidabili, e non quello di comprare il loro silenzio una volta riscontrato un bug rilevante.
Nel settore dei browser, Mozilla non è la sola società sviluppatrice che ricompensa gli utenti in nome della sicurezza: anche Google, come già accennato, si è mossa da qualche tempo in tale direzione. I compensi garantiti da Mountain View, però, sono nettamente inferiori: generalmente, la cifra si aggira tra i 500 e i 1000 euro per bug. A quanto pare, dunque, per garantire la sicurezza dei propri utenti è necessario pagare: in quest’ottica è possibile inquadrare meglio la richiesta di Vupen nei confronti di Microsoft, che per ricevere informazioni sui bug riscontrati in Office 2010 ed Internet Explorer dovrebbe sborsare un il giusto compenso.