Zůstatek na bankovním účtu Jamese Forshawa v tomto týdnu narostl o závratných 100 tisíc dolarů. Microsoft jej takto odměnil za upozornění na vážnou zranitelnost v operačním systému Windows 8.1.
Jde zcela jistě o jednu z největších odměn, která kdy byla nálezci nějaké chyby vyplacena. Bohužel pro Forshawa se o většinu získaných peněz bude muset podělit s dalšími subjekty.
Jak vysvětluje sám „šťastný“ nálezce, v tomto případě půjde velká část získané odměny na konto jeho zaměstnavatele, kterým je společnost Context. „I kdyby tomu tak nebylo, po zásahu berního úředníka by se částka stejně výrazně zmenšila. Rentiérem se tedy rozhodně nestanu,“ říká s nadhledem Forshaw.
Forshaw přišel ve Windows 8.1 na bezpečnostní chybu, kterou rozhodně nelze označit za běžnou zranitelnost. Případným útočníkům by umožnila zcela obejít bezpečnostní mechanismy operačního systému a získat volný přístup k uživatelským datům.
Vyplácení odměn za nalezení bezpečnostních zranitelností se stalo již běžnou praxí. Kromě Microsoftu výzkumníky odměňují například také v Googlu. Důvod je jednoduchý. Programy obou firem jsou natolik rozsáhlé, že není v jejich silách vše ohlídat. Člověk „zvenčí“ navíc může do dané problematiky vnést úplně nový pohled.
„Microsoft i Google mají poměrně velkou bezpečnostní sekci, která aktivně vyhledává softwarové chyby v produktech a okamžitě je opravuje. Nicméně někdy mají k danému produktu prostě příliš blízko – pro les nevidí stromy,“ říká Forshaw. Bez patřičného odstupu to zkrátka někdy nejde.
Firmám se využívání externích výzkumníků vyplatí i finančně. „Jednoduše nemůžete vyhradit dostatečné množství prostředků na odhalení všech chyb. Externí výzkumníci vyjdou levněji než tým bezpečnostních expertů, který by musel pokrýt všechny úhly,“ vysvětluje Forshaw.
Některé externí badatele oslovují firmy cíleně. To byl právě i tento případ. „S lidmi z Microsoftu mám dobré vztahy. V minulosti jsem je upozornil již na řadu chyb. Proto se nyní na mě i na pár dalších výzkumníků sami obrátili,“ řekl Forshaw.