Microsoft nie chciał podziękować polskiemu hakerowi
Gdy haker o nicku "Ch...wamwdupe" opublikował w ubiegłym tygodniu przykładowy kod wykorzystujący lukę w pakiecie biurowym Microsoft Office 2003, mogłoby się wydawać, że zrobił to złośliwie.
"Ch...wamwd..." żali się, iż "Niestety, Microsoft odmówił imiennych podziękowań pod adresem pseudonimu, który podał".
"Co złego w "Ch...wamwd...", eh?" - pyta haker. Akurat to pytanie wydaje się retorycznym.
W świecie hakerów reputacja jest czymś bardzo ważnym - w tej sytuacji Microsoft postawiono w trudnym położeniu. Firma z Redmond zazwyczaj dziękuje imiennie hakerom, którzy przyczyniają się do odkrycia luki, jednakże odmawiając podziękowań "Ch... wamwd..." wystawia użytkowników na ryzyko ataku - lekceważenie go może spowodować, iż przykładowy kod może znacznie szybciej zostać opublikowany dla ogółu.
"W związku z tym, iż pseudonim odkrywcy luki jest obraźliwy w innym języku, zdecydowaliśmy się przypisać zasługi VeriSign iDefense VCP (Vulnerability Contributor Program)" - twierdzi Microsoft
VeriSign wynagradza finansowo hakerów, (takich jak "Ch...wamwd...") za informacje o słabych punktach w oprogramowaniu, aby w ten sposób szybko informować użytkowników o błędach, jeszcze zanim zostaną one załatane przez Microsoft.
Terri Forslof, menedżer firmy TippingPoint, która pracowała wcześniej w Microsoft Security Response Group, wyjaśnia, iż ze względu na kwestie techniczne niemożliwe jest umieszczanie w biuletynach obraźliwych lub agresywnych pseudonimów osób, które wykryły luki. Takie działania mogłyby spowodować, iż biuletyny zostałyby zablokowane przez oprogramowanie filtrujące, co utrudniłoby komunikację Microsoftu z użytkownikami.
