A empresa de consultoria em segurança iDefense Labs anunciou que irá pagar 8 mil dólares para quem revelar a ela informações exclusivas de vulnerabilidades presentes no Windows Vista ou no Internet Explorer 7. Pesquisadores de segurança que participarem podem ganhar ainda um bônus de até 4 mil dólares caso enviem também um código malicioso que demonstre como a vulnerabilidade pode ser explorada.

Interessados em receber o dinheiro devem informar a iDefense sobre uma falha em um canal privado e não pode revelar as informações publicamente em fóruns ou listas de discussão. Para serem consideradas, as brechas devem permitir a execução de código, o que, na maioria das vezes, significa o mesmo que facilitar a instalação de vírus.

A oferta faz parte do VCP [Vulnerability Contributor Program]. O programa é uma iniciativa da iDefense Labs que paga e recompensa quem enviar à empresa dados exclusivos sobre uma falha de segurança. Em cada trimestre do ano, a iDefense especifica um conjunto de aplicativos cujas falhas serão recompensadas com valores acima do normal.

O Windows Vista e o Internet Explorer 7 foram os escolhidos para o primeiro trimestre de 2007. No primeiro trimeste de 2006, a iDefense ofereceu 10 mil dólares por uma falha que resultasse na publicação de um boletim de segurança de classificação crítica em qualquer produto da Microsoft. Falhas em bancos de dados, navegadores web e aplicativos de mensagens instantâneas foram as recompensadas nos trimestres seguintes de 2006.

A iDefense informa que, neste trimestre, somente as seis primeiras vulnerabilidades que forem julgadas válidas para receber o pagamento serão recompensadas. As informações sobre as falhas devem ser enviadas até o fim de março. Qualquer vulnerabilidade enviada após esse período não receberá o valor especial.

A iDefense, apesar de ter sido pioneira, não é a única a pagar pesquisadores independentes pela exclusividade de informações sobre vulnerabilidades. O Zero Day Initiative [ZDI], da 3Com, recompensa quem descobrir brechas de segurança de forma semelhante. As duas empresas trabalham com desenvolvedores de software para assegurar que uma correção seja lançada antes que detalhes sobre uma falha sejam disponibilizados na rede.

Programas como o VCP e o ZDI sofrem críticas de alguns pesquisadores que acham que não é correto recompensar quem encontra falhas de segurança. Empresas de software não pagam nada para quem descobre novas brechas em seus produtos, mesmo que as informações sejam enviadas de forma privada por quem as descobriu. No entanto, vulnerabilidades podem ser vendidas para criminosos virtuais por milhares de dólares e alguns pesquisadores simplesmente publicam na Internet todos os detalhes necessários para que um criminoso possa tirar proveito da falha, antes mesmo do desenvolvedor ter uma chance de divulgar uma correção.

Anúncios

Escrito por Altieres Rohr

Jornalista e tradutor. Editor dos sites Linha Defensiva e Garagem 42 e colunista de Segurança Digital no portal G1 da Rede Globo.