Ostatnio poruszaliśmy temat naszej Globalnej Inicjatywy Transparentności. Obiecaliśmy również zaktualizować program bug bounty — właśnie nadszedł ten moment. Od teraz każda osoba, która znajdzie szczególnie istotną lukę w jednym z naszych produktów, otrzyma nagrodę w wysokości 100 tysięcy dolarów.
Nasz program bug bounty został uruchomiony w 2016 roku. Udział w nim mogą wziąć wszyscy — od początkujących informatyków po doświadczonych zawodowców. Program polega na wyszukiwaniu błędów w produktach Kaspersky Lab. Nagrody pieniężne — które do tej pory sięgały od 300 do 5 000 dolarów — są płacone za luki wykryte i ujawnione w odpowiedzialny sposób. Dzięki programowi ujawniono już ponad 70 błędów, które zostały załatane przez nas na czas.
Zgadza się, nawet w naszych produktach zdarzają się błędy. Nie boimy się tego powiedzieć. Nikt nie jest idealny i właśnie dlatego powstały takie programy jak bug bounty. Pierwszy z nich pojawił się w 1995 roku; wtedy firma Netscape chciała sprawdzić swoją najnowsza przeglądarkę. Dziś programy takie prowadzą między innymi Google, Microsoft, Facebook, Mozilla, a także wiele innych firm informatycznych.
Począwszy od 1 marca zwiększyliśmy maksymalną wartość nagrody 20-krotnie. Teraz za odkrycie luk można zgarnąć nawet 100 tys. dolarów. Ta najwyższa nagroda zostanie przyznana za wykrycie błędów, które umożliwiają zdalne wykonanie kodu za pośrednictwem kanału aktualizacji bazy danych produktów, gdy uruchomienie szkodliwego kodu następuje bez wiedzy użytkownika w jednym z procesów oprogramowania Kaspersky Lab posiadającym wysoki poziom uprawnień i może przetrwać ponowne uruchomienie systemu.
To dosyć skomplikowane zadanie. Jednak znajdowanie mniejszych luk także się opłaca. Luki umożliwiające wykonywanie zdalnego kodu w inny sposób zostaną nagrodzone kwotą od 5 tys. do 20 tys. dolarów. Wypłata będzie także realizowana za luki umożliwiające rozszerzenie uprawnień lokalnych lub prowadzące do ujawnienia wrażliwych danych.
Zachęcamy do testowania solidności naszych dwóch nowych produktów: Kaspersky Internet Security 2019 i Kaspersky Endpoint Security 11 (czyli najnowszych wersji beta tych produktów). Zgodnie z warunkami programu musza one działać w systemie Windows 8.1 lub Windows 10 z zainstalowanymi najnowszymi aktualizacjami. Więcej informacji szczegółowych znajduje się w opisie programu bug bounty na stronie platformy HackerOne.