La empresa fundada por Bill Gates presentó un programa de recompensas con el fin de solucionar errores en su navegador de próxima generación denominado Spartan y para la próxima versión de Internet Explorer para Windows 10. Microsoft ofrece recompensas que oscilan entre los 500 y los 15.000 dólares.
En su anuncio, Microsoft explicó que habrá premios mayores en dinero efectivo, aunque sin dar detalles específicos sobre el importe, ni tampoco qué tipo de descubrimiento motivaría un pago mayor, sólo aclaró que esto dependería de la calidad y la complejidad de la información recibida.
El “Project Spartan bug programme” comenzará 22 de junio y estará disponible a nivel internacional para todos los interesados mayores de 14 años de edad.
Los aportes calificados tendrán la posibilidad de recibir recompensas que serán abonadas a discreción de Microsoft, con base en la calidad y la complejidad de la vulnerabilidad.
La empresa remarcó que no se aceptará la participación de sus propios empleados ni de representantes de empresas o países que estén afectos a las sanciones por parte de Estados Unidos, como por ejemplo Corea del Norte.
Microsoft explicó que los aportes que contengan la información más completa se harán acreedores a los mayores pagos, agregando que las vulnerabilidades deben ser relativamente fáciles de explotar y que no requerir que el usuario se vea en la necesidad de realizar acciones extensas o improbables.
Las mayores recompensas serán otorgadas por información sobre ataques exitosos que se basen en ejecución remota de código, como asimismo vulnerabilidades que escapen a las sandboxes. Las presentaciones deberán incluir evidencia de la prueba de concepto y un exploit que sean replicables.
La empresa también está dispuesta a pagar por unas vulnerabilidades detectadas en EdgeHTML.dll y Address Space Layout Randomisation.
Los aportes serán aceptados sólo si afectan la compilación más reciente de Windows 10, denominada “Threshold”.
Si bien se trata de una iniciativa que puede beneficiar a investigadores de todo el mundo, esta estrategia puede ser vista como una forma económica de realizar la prueba y verificación de un software, utilizando una gran cantidad de mano de obra barata o inclusive gratuita. Seguramente Microsoft pagará por los hallazgos más importantes, pero no por el resto, aunque seguramente utilizará esa información para su beneficio.
Se debe considerar que el sólo análisis de las presentaciones representará un gran trabajo para Microsoft, pero seguramente será más económico y rápido que llevar adelante una prueba exhaustiva de sus nuevos programas.
