寻找安全新技术 微软蓝帽奖高达25万美元

　　微软正对补偿独立的安全研究人员这一想法感兴趣，然而与其开始一个错误赏金项目，微软选择为创新的安全技术提供高达25万美元现金的奖励。

　　微软在2011黑帽安全大会上宣布，将成立一个BlueHat奖(意为蓝帽奖)，通过该奖寻找新的计算机安全保护技术。BlueHat将奖励三个安全研究人员，他们设计了一个防止利用内存安全漏洞的方法，这也是微软关注的主要焦点。

　　前三名的比赛的优胜者将获得现金奖励，奖金将于明年(2012年)的黑帽大会上给予。第一名获胜者将获得20万美元，第二名将获得5万美元，第三名将获得价值1万元的MSDN Universal的订阅。从2011年8月3日开始接收比赛作品，到2012年4月1日结束。参赛作品将根据实用性和功能性，技术可被绕过的难易度以及对安全的影响来判断。

　　微软安全反应中心的高级战略师Katie Moussouri在一个新闻发布会上表示，那些交上来的作品应帮助微软在Windows中建立新的保护措施，同样也应该保护运行在操作系统上的应用程序。

　　“该奖项鼓励的不仅仅是当前的一代，还包括下一代”Katie Moussouri说道，“我们相信，BlueHat奖项会鼓励全球最聪明的研究者和专家解决关键安全难题，向他们提供影响世界的机会。”

　　Dulles的CTO兼Cigital公司的安全顾问Gary McGraw认为，BlueHat奖是解决软件漏洞的一个新方法。比赛关注的将是安全工程师，而非渗透测试员。

　　“该奖项很重视解决软件安全问题的新方法，”McGraw说道，“我们有一百万种方法可以找到错误，但这不是问题的关键。问题的关键在于修复它们。他们注重缓解和修复问题，而不是发现错误的时间。”

　　McGraw表示，比赛的一个主要障碍是：无论是谁创造了??一项伟大的技术，都想得到奖金为20万美元的一等奖。

　　根据BlueHat比赛的官方规则，提交参赛作品的研究人员将保留知识产权，但允许免费将该技术授权给微软。

　　微软目前已建立防止恶意代码访问内存的保护，但近年来的安全研究人员已经找到办法绕过这些技术。

　　漏洞管理厂商Rapid7有限责任公司的CSO兼Metasploit总建筑师HD Moore表示，微软奖励计划侧重于防守技术，而不是进攻技术。尽管有一些研究人员的重叠，但Moore认为找错误的人员和利用的错误的作者不会对该奖项感兴趣。防御技术实际上并不解决检测编码错误和隐藏的bug问题，他补充道。

　　“错误赏金方案(Bug bounty programs)是相当昂贵的，因此鼓励其他人提交防御技术是个很不错的想法，”Moore说道，“有些在研究领域有强大背景的人对此感兴趣，但我不认为那些现在在提交错误的人们会对此感兴趣。”

　　一位不愿透露姓名的黑帽大会的与会者表示，他不认为微软可以从独立的安全研究人员那里获得大量的作品。比起与一个安全厂商合作或创造一个新的安全公司，创造一个新的安全技术所花费的时间和精力要好很多。

　　“微软有大量的资金和强大的工程师团队，他们可以自己创造新的安全技术，”他说道。