TippingPoint - parte a 3Com - solicita hackerilor sa raporteze vulnerabilitatile de securitate in schimbul unor sume de bani. Daca este descoperit un bug de securitate valid, TippingPoint va notifica producatorul produsului vulnerabil si va updata produsele de securitate pentru a proteja utilizatorii impotriva exploatarii scaparii inainte de a fi lansat un patch oficial.
"Dorim sa rasplatim si sa incurajam cercetarea independenta de securitate, sa promovam si sa asiguram dezvaluiri responsabile ale vulnerabilitatilor si sa oferim clientilor 3Com cea mai buna protectie de securitate din lume", a declarat David Endler, director al cercetarii de securitate in cadrul TippingPoint.
Compania TippingPoint vinde sisteme de prevenire a intruziunii, create pentru a proteja impotriva vulnerabilitatilor, pe servere, desktopuri si alte computere conectate la reteaua unei organizatii.

Recompensele sunt oferite prin programul TippingPoint "Zero Day Inititive". Compania intentioneaza sa anunte programul la inceputul acestei saptamani.

Putine companii ofera recompense pentru descoperirea vulnerabilitatilor software. Recompensele sunt aproape intotdeauna platite de companii de securitate pentru scaparile descoperite in produsele software ale altor companii. Platile sunt utilizate pentru a obtine un avans competitiv in fata rivalilor, prin descoperirea mai multor vulnerabilitati.
Compania de informatii in securitate iDefense, care a fost de curand achizitionata de Verisign, si Mozilla Foundation platesc si ele pentru descoperirea bug-urilor. Mozilla ofera 500$ si un Mozilla T-shirt celor care descopera scapari critice de securitate in produsele sale, inclusiv in browserul Firefox.
Banii devin tot mai mult un stimulent pentru hackeri. Programe precum cel al TippingPoint ofera o cale legitima de a fi platiti pentru vanatoarea lor de bug-uri. Exista, de asemenea, o piata subterana a vulnerabilitatilor. Infractorii cibernetici platesc sume importante pentru scaparile descoperite anterior, pe care le pot utiliza pentru a patrunde in sisteme.

Bug-urile pot fi raportate companiei TippingPoint pe site-ul Zero Day Initiative. Tipping Point investigheaza toate rapoartele si va trata doar cu cercetatorii reputabili. "Trebuie sa stim exact cu cine lucram", a spus Endler. "Nu dorim sa lucram cu black hats sau grupuri ilegale". Black hat este un termen generic utilizat pentru a caracteriza hackerii infractori.
Daca o scapare este autentica, TippingPoint va face o oferta. Suma va depinde de scopul vulnerabilitatii. O problema care permite unui atacator sa obtina acces de la distanta asupra unui computer, va cantari mai greu dacat un bug care doar inactiveaza un sistem, spre exemplu.