Microsoft: mi nem fizetünk jutalmat a bugokért

Ismert biztonsági szakemberek - köztük Charlie Miller, Alex Sotirov és Dino Dai Zovi - korábban kijelentették: nincsenek többé ingyen bugok. Ez pontosabban azt jelenti, hogy ők nem fognak azért időt áldozni sebezhetőségek felkutatására, dokumentálására, exploitok kidolgozására és megírására, hogy utána ezeket az információkat ingyen a gyártók rendelkezésére bocsátsák. Charlie Miller egy tavaly tavaszi interjúban kerek perec kijelentette, hogy nem fogja az általa talált hibát az Apple-lel ingyen megosztani. A vállalatnak vannak szakemberei, akik azért kapják a fizetésüket, hogy ezt a munkát elvégezzék. Dino Dai Zovi egy hosszabb blogbejegyzésben akkor kifejtette, hogy mi a motiváció a "No more free bugs" kampányuk mögött.

No more free bugs
Alex Sotirov és Dino Dai Zovi - No more free bugs

A kampány legfőképpen olyan for profit vállalatokkal szemben indult, amelyeknek sebezhető termékeit pénzért lehet megvásárolni, magyarul, olyan vállalatok ellen, amelyek profitot termelnek az adott termékek árusításán keresztül. Kiváltképp olyan for profit vállalatok ellen, akik már foglalkoztatnak biztonsági szakembereket, akiknek az lenne a dolga, hogy ezeket a sebezhetőségeket megtalálják. Dai Zovi blogbejegyzésében megemlíti, hogy a nyílt forrású projektekben vagy az internetes infrastruktúrában felfedezett sebezhetőségek méltán igényelnek megkülönböztetést.

Dai Zovi 4 pontba szedte a kampány mögött álló okokat:

  • A sebezhetőségek veszélynek teszik ki a felhasználókat. Nyilván, ha nem így lenne, akkor a gyártók nem javítanák őket.
  • A sebezhetőségeknek értékük van. Vannak cégek, akik szakembereket alkalmaznak a hibák felkutatására, javítására. Vannak olyan cégek, magánszemélyek stb. akik legálisan pénzt fizetnek a bejelentett sebezhetőségek után (Tippingpoint / ZDI, Mozilla, Google, Donald Knuth, Dan Bernstein).
  • A hibák bejelentése veszélyt rejt a bejelentő számára. Akár fenyegetéseknek, pereknek, börtönnek teheti ki őket.
  • A sebezhetőségekkel kapcsolatos információk ingyenes közlése nem fair azokkal az ügyfelekkel szemben, akik fizetnek ezekért a szolgáltatásokért, információkért.

Vannak cégek, akik megpróbálják valamiféleképpen honorálni a biztonsági kutatók munkáját. Az elmúlt napokban a Mozilla bejelentette, hogy felemeli azt a jutalmat, amelyet a termékeit, szolgáltatásait érintő, bejelentett sebezhetőségek után fizet. Néhány nappal később a Google követte a példát.

Állítólag security körökben az hír járja már egy ideje, hogy a Microsoft is hasonló lépésre szánhatja el magát és hamarosan a redmondi cég is jutalmat fizet a bejelentett bugok után. A híresztelés kacsának bizonyult, hiszen a vállalat hivatalosan cáfolta, hogy jutalmat tervezne fizetni a kutatóknak a bejelentett, sebezhetőségekről szóló információk után.

A Microsoft részéről Jerry Bryant elmondta, hogy véleményük szerint nem az legjobb megoldás, hogy jutalmat fizetnek a bugok után. Szerintünk biztonsági körökben nem minden esetben anyagi a motiváció az egyes bejelentésekkel kapcsolatban. Megjegyezte, hogy a Microsoft rendszeresen megemlíti a biztonsági figyelmeztetőiben a hiba felfedezőjét, megemlékezve arról, hogy az adott kutató értékes információkkal járult hozzá sebezhetőség orvoslására kidolgozott javítás elkészítéséhez. Annak ellenére, hogy nem osztanak hibánként jutalmat, elismerik és jutalmazzák a tehetséges embereket. Volt példa már arra, hogy biztonsági körökben befolyásosnak számító egyének csatlakozhattak a Microsoft biztonsági csapatához alkalmazottként. Ezen kívül a vállalat közvetlen szerződéseket köt biztonsági vállalatokkal és néha magánszemélyekkel azért, hogy azok leteszteljék biztonsági szempontból egyes termékeiket még a kiadás előtt.

A részletek itt.

Hozzászólások

"Microsoft: mi nem fizetünk jutalmat a bugokért"
meg is lepődtem volna ha, igen.
-------------------------------------------------------------------------
Nem, de lehetne.

Fizetni a bugokért?! Még jó, hogy nem! :D Szerintem az M$-nek tovább kellene növelni a bevételeit! :D

Ballmer helyében már csinálnám a "Fogadj örökbe egy Windows bugot" c. oldalt! :) 1-1 bugot negyedévre jóára$ítva a nevedre vehetsz, ha megnyered a licitet! Különösen jó áron menne most a .lnk sebezhetőség. Amennyi még benne a bug, dőlne a lé! :DD

Nem érdekük fizetni. Nekik az a jó, ha ki se derül, vagy ha kiderül, homályban marad.
A Mozilla és a google nyílt forrást tol, nekik érdekük.

A Win98 telepítése közben volt olvasható ez a szöveg: "Tovább tökéletesítettük a Windows operációs rendszert". Ugyan idézőjelbe tettem, de az eltelt idő miatt garanciát nem vállalok rá, hogy szó szerinti az idézet. De a lényeg ez volt. Nyilvánvaló, hogy a Windows 7-ig minden változat tovább tökéletesedett. Így aztán miért kellene fizetni? :-)

-----
"Fontosabb egy jó szomszéd, mint egy távoli rokon." (Árvízkárosult, 2010)

"Szerintem arra céloznak, hogy az lesz az otthonuk, ha nem fizetnek nekik a bugokért."

Ki mondta, hogy ebbol kell megelniuk? Szerintem senki nem tartott pisztolyt a fejukhoz. Ellenben ok igy akarnak kenyszeriteni cegeket (es itt nemcsak a Microsoftrol van szo), hogy fizessenek egy olyan munkaert, amire senki nem kerte fel oket. Ket MSfukkolas kozott ezen is elgondolkozhatna itt par ember.

Kicsit olyan ez az egesz, mintha valaki lefestene (az egyebkent lehet, hogy rozsdasodo) keritesem, aztan benyujtana a szamlat. Remek, de ki kerte meg ra? Es igen, aljas modon a fejlesztok oldalarol is nezem a dolgot.

----------------
Lvl86 Troll

Lehet a hasonlaton rugozni, de attol meg senki nem kerte oket, hogy ezzel foglalkozzanak.

A fentebb emlitett orosz maffiahoz meg annyit, hogy jelenleg igy is eleg sok bugot adnak el annak, aki tobbet fizet, jelenleg csupan azt akarjak elerni, hogy az sw gyartoktol is kikenyszeritsek a fizetest. Ez az, ami nekem nem tetszik az egeszben.

A valaki "lehet" megtalalja elobb-utobb meg csak egy feltetelezes. (gondolok itt a 25 eves BSD bugra)

----------------
Lvl86 Troll

Hát ha én Ms bugot találnék (bár nem fogok, mert leszarom és bár használok Windowst is úgysem szopom meg tudatos felhasználói magatartásomnak és routeremnek köszönhetően), akkor a következőt tenném. Írok nekik, hogy van egy bug ilyen és ilyen impacttal, amit saját rendszerem biztonságának ellenőrzése közben találtam, de sok időmbe telt mire kiderítettem róla mindent, ezért ennyi és ennyi pénzért eladom a munkám végeredményét. Ha fizetnek érte, akkor oké, megküldöm nekik az infókat és kussolok, de ha nem, akkor rögvest kikúrom az Internetre hadd szopjanak. Lehetne így is csinálni, senki nem kért meg a munkára, de teszek egy ajánlatot az elvégzésére. Igazából szerintem ezt kellene csinálniuk a srácoknak, lehet fel is vetem nekik. Bár ezzel az a baj, hogy a fasz törvények miatt nem tudom erre rá lehet-e húzni, hogy zsarolás. Emlékezzünk arra, amikor Mike Rowe domain nevét fillérekért akarták megvenni, ő meg konkrétan visszaírt, hogy ennyi pénzért nevetséges, aztán beperelték zsarolásért.

úgysem szopom meg tudatos felhasználói magatartásomnak és routeremnek köszönhetően

nem semmi routered lehet, ha véd a böngésző/flash hibák kihasználása ellen is :)

Ha fizetnek érte, akkor oké, megküldöm nekik az infókat és kussolok, de ha nem, akkor rögvest kikúrom az Internetre hadd szopjanak.

kicsit zsarolás szagú, főleg ha azzal érvelsz, hogy a sok munkádért kérsz pénzt, de ha nem fizetnek, akkor (ingyen) világgá kürtölöd... :)

nehéz jó analógiát találni, mert attól még hogy az emberi agy szereti a párhuzamokat, két teljesen különböző dologról van szó.
de mivel szeretjük a párhuzamokat:) egy, a kerítésesnél jobb példa,

a szomszéd elhanyagolja a kertjét, ezért tömegével terem benne a parlagfű allergiás rohamokat okozva neked és a szomszédságnak. ezért átmész a kertjébe és lekaszálod a parlagfüvet, utána pedig benyújtod a számlát a munkádért.
kéretlenül végezted a munkát, de közcélt szolgáltál vele. ma már a parlagfű kényszerkaszálására törvény van. a tulajdonjog 2010ben már nem jelent istencsászári felhatalmazást, az csak a vadkapitalizmusban divat.

néhány nevesebb biztonsági szakember kijelenti, hogy "no more free bugs". a Microsoft jelenleg nem vevő az ötletre. innen két fő eset lehetséges,
#1 lesznek helyettük más biztonsági szakemberek, akik ugyanolyan gyorsan és hatékonyan megtalálják a biztonsági hibákat a Ms softwarekben ingyenesen, lelkesedésből, Microsoft pólóért és egéralátétért. ebben az esetben nem kell aggódni Redmondban.
#2 ők és a velük egyet értő biztonsági szakemberek majd másoknak fogják eladni a bugokat, akik hajlandóak fizetni érte. ebben az esetben nagy az esélye, hogy egyre több ilyen híreket fogunk olvasni. amikor ezek elérnek egy kritikus számot, sok, jelenleg még Microsoft ügyfél le fogja vonni a következtetéseket.

a felhasználószám nem fog változni, sőt továbbra is nőni fog. ez egy táguló világ, ráadásul India nagy, Kína még nagyobb. de a felhasználók minőségi összetétele már változhat. már most problémának tekintik, hogy az egyre olcsóbb szegmensbe csúsznak, egyelőre még csak desktopon.

a tulajdonjog 2010ben már nem jelent istencsászári felhatalmazást, az csak a vadkapitalizmusban divat.
Hidd el, jelent, a vadkommunizmusban nem jelentett ilyet.
a szomszéd elhanyagolja a kertjét, ezért tömegével terem benne a parlagfű allergiás rohamokat okozva neked és a szomszédságnak. ezért átmész a kertjébe és lekaszálod a parlagfüvet, utána pedig benyújtod a számlát a munkádért.
A példánál maradva: átszólsz, hogy lekaszálod neki m2-ként 10 Ft-ért, ha nem, akkor beszólsz a jegyzőnek, aki amúgy jelzi a növényvédelmi hatóságnak, akik legalább 20 eFt-ra büntetnek, meg a jegyző elrendeli a kényszerkaszálást 20 Ft/m2 áron.
Szerintem így jellemezhető a hozzáállás.
Kerítés: szia, van egy kis gond a telkeddel, 1000 Ft-ért megsúgom.
Nem fizetek. Rendben, akkor felnyomlak az önkormányzatnak, akik ezért meg fognak büntetni, mert elhanyagoltad az ingatlanodat. Hogy mi a hiba, azt nem mondom meg.

lazán kapcsolódva a hírhez, én egyszer próbáltam connect-en WDK hibát jelenteni, 1 hónap után nagy nehezen lezárták "external" jelzővel. de a "won't fix" és a "by design" is népszerű állítólag. bár egy build környezet C libje nem tudom, hogy lehet external. rákérdeztem, de persze választ nem kaptam.

meg mondjuk az is aranyos, ahogy hónapokig vakaróznak, aztán ha befikkan egy disclosure, akkor még ovis módba kapcsolnak, és "nem örülnek".

ilyenek után teljesen meg tudom érteni, hogy nem akarják ingyen elb@szni az idejüket ilyen hozzáállású emberek miatt.
szerintem.

"A Microsoft részéről Jerry Bryant elmondta, hogy véleményük szerint nem az legjobb megoldás, hogy jutalmat fizetnek a bugok után."

Igazatok van, kár is lenne fizetni azoknak, akik helyettetek elvégzik a munkát.

-------------------------
Trust is a weakness...

Ennyire azért a legtöbb ember nem hülye.. ha talál egy hibát, akkor hidd el, hogy lehet találni olyan "értékesítési pontokat", ahol tárt karokkal, és nyitott pénztárcával várják az illetőt :) Aztán, hogy az átvétel után a másik fél mit kezd a kóddal onnantól már lényegtelen..
Innen viszont a végletek:
- Egy olyan cég veszi meg, akinek hivatalosan is ez a tevékenységi köre: Ez esetben ebből fog ő is profitálni ( a további ügyfelek révén ), de nagyobb kár nem fogja a végfelhasználókat érni
- Egy olyan cég/szervezet veszi meg, aki szimplán lehetőséget lát a bugban/exploitban. Na innentől aztán nem garantált, hogy a végfelhasználóig ez nem fog eljutni valamilyen csatornán. ( Halkan megjegyzem, hogy a most éppen aktuálisan megtalált USB-n terjedő kártevő szerintem csak egy ebből a halmazból. Nem akarok tippelni hány hasonló lehet még ( ezt meghagyom a flame betyároknak :)) )
____________________________________
Az embert 2 éven át arra tanítják hogyan álljon meg a 2 lábán, és hogyan beszéljen... Aztán azt mondják neki: -"Ülj le és kuss legyen!"..

Halkan jegyzem meg, de azok a más szemétládák pont az ilyen céges hozzáállás miatt nevetnek most nagyot, és örülnek, hogy nem tesznek nekik még jobban keresztbe :) Hidd el nekik is megvan a helyük a "táplálék láncban" :))
Az meg megint csak más tészta, hogy pont az ilyen hozzáállás miatt szaporodik a mai napig ez a réteg..
____________________________________
Az embert 2 éven át arra tanítják hogyan álljon meg a 2 lábán, és hogyan beszéljen... Aztán azt mondják neki: -"Ülj le és kuss legyen!"..

Az a helyzet, hogy itt tökéletesen fog érvényesülni a kapitalizmus: aki többet fizet, azé a bugreport. Ha ez a cybermaffia, akkor ők, nyilván nekik megéri megvenni ezeket a hibákat. Nem állítom, hogy minden security szekértő így fog tenni, de biztosan lesznek köztük ilyenek is. Aztán majd a késő/soha el nem készülő hibajavítások miatt elszenvedett károk okán az ügyfelek beintenek a redmondiaknak és átnyergelnek más platformra...

-------------------------
Trust is a weakness...

Talán nem volna elég fedezet, a talált bugokra? :-)

"Volt példa már arra, hogy biztonsági körökben befolyásosnak számító egyének csatlakozhattak a Microsoft biztonsági csapatához alkalmazottként."

micsoda megtiszteltetés! minden biztonsági szakértő álma ;)

majd a trojaigyartok es botnetepitok fizetnek. esetleg nemelyik titokszolgasag. kapitalizmus / piacgazdasag van vagy mifene.

én sem! ;)

"Jerry Bryant elmondta...Szerintünk biztonsági körökben nem minden esetben anyagi a motiváció az egyes bejelentésekkel kapcsolatban.">kicsit lemaradt az m$. mintha eddig lett volna így, ez a bejelentés pedig a fordulatnak tűnik.

amúgy ényleg vicces ez az a "Microsoft rendszeresen megemlíti a biztonsági figyelmeztetőiben..." rész.

@b
jó módszer! jobb, mint Churchill-é. :DDD
viszont lehet, ha eladják a bugokat, mégis hamarabb kiderül, mintha az m$-sel egyezkednének hónapokat. jön a támadás, az m$ egyből reagál. így mindenki jól jár: a júzerek, mert gyors a javítás tempója, az m$ duplán is, mert nem fizetett külön a bugért, viszont az addig fizetett alkalmazottai innentől (egy darabig mindenképp) megdolgoznak a pénzükért, és a mozilla, mert romlik az m$ statisztikája.

Az a gond ez visszafele is elsülhet.

Mostanában láttam egy táblázatot, ahol a Mozillát hozták ki a legbugosabb szoftvernek, messze megelőzve a Windozert. Értelemszerű, hiszen a Mozillához jelentenek be legtöbben hibát.

Ha most több Windosos bugot nem jelentenek be, akkor egy idő után a Win lesz a legbugmentesebb, legstabilabb (rofl) szoftver.

Hmm, egyik sem nyert hangszórót. Én amblok értettem a win 1.0-tól a win 7-ig mindenre.

Ellenben mivel egy Unix-szal foglalkozó oldalon vagyunk, ezért jobb ha a legújabb kernelre épülő windowsról beszélünk. Megadva a lehetőséget a Microsoftnak az új hibák felfedezésének örömére. :D

[off]

Ez pontosabban azt jelenti, hogy ők nem fognak azért időt áldozni sebezhetőségek felkutatására, dokumentálására, exploitok kidolgozására és megírására, hogy utána ezeket az információkat ingyen a gyártók rendelkezésére bocsátsák.

Az óvodás unokahúgom is hasonlóan van ezzel. Mindig is láttam rajta, hogy valamiképpen hasonlít Charlie Miller-re. :)
[/off]

A hibák bejelentése veszélyt rejt a bejelentő számára. Akár fenyegetéseknek, pereknek, börtönnek teheti ki őket.

Ezen hogyan változtat a kötelező pénz?

[off]

A sebezhetőségekkel kapcsolatos információk ingyenes közlése nem fair azokkal az ügyfelekkel szemben, akik fizetnek ezekért a szolgáltatásokért, információkért.

Szerelemből dugni nem fair azokkal szemben, akik fizetnek a szexért. Elkurvult a világ. :)
[/off]

:)

Tipikus szoftvermonopol(lol) hozzáállás. Ha nincs szerződésed a céggel, a kutyát sem érdekli, hogy te milyen bugot találtál benne. Ők nem kérik a poor userek segítségét a kapitalista OS-ük fejlesztéséhez. Amúgy meg az a user fizet a bugokért, aki megveszi az ablakozós oprendszerüket. :D

Nem flame indítóként, de megkérdem:

Az Apple-nél mi a policy a kérdésben? Fizetnek, jutalmaznak, elismernek?

FTR: nem cinikus kikacsintás, tényleg nem tudom.

Szubjektív válasz, nem flame célból:

Apple-nél nincs policy, csak parasztvakítás. :) Persze, elismernek mint vásárlójukat, semmi többet.
Mivel ők rájöttek, hogy a sznob réteget könnyebb beetetni a termékeikkel, nem hiszem, hogy abból a körből sokan tudnának bugreportokat készíteni. Maximum hardverhibára jeleznének vissza, pl: eldurran az akksi az iPhone-ban.

Na, de Apple off, a főszerep most az M$-é. :D

arra senki nem gondolt, hogy azért akarnak pénzt kérni a hibákért, mert rájöttek, hogy a microsoft cuccokban elfogytak a felfedezhető hibák? már csak két hiba van, amiről nem tud az ms és szeretnék, ha legalább azért a kettőért fizetnének nekik redmondban.