Lỗi phần mềm không còn là 'bữa trưa miễn phí'

Đối với không ít người chuyên khám phá lỗ hổng trong chương trình máy tính, một lời cảm ơn từ phía hãng sản xuất phần mềm là chưa đủ. Giờ họ còn muốn được trả công.

Giới bảo mật đang lo ngại về nguy cơ các lỗ hổng bị đem ra rao bán thay vì được gửi tới đơn vị chịu trách nhiệm phát hành bản vá. "Mạng Internet đang hình thành nên một thị trường lỗi phần mềm. Nó sẽ là động lực lôi kéo kẻ xấu mua bán lỗi và làm tha hóa cả những chuyên gia chân chính", Bruce Schneier, Giám đốc công nghệ của hãng bảo mật BT Counterpane (Mỹ), nói.

Một số công ty phần mềm đã đồng ý trả những khoản tiền nhất định để mua thông tin (khoảng vài trăm đến vài nghìn USD tùy thuộc mức độ nghiêm trọng). Hãng bảo mật iDefense thuộc VeriSign đi đầu trên thị trường "mũ trắng" từ cách đây 5 năm khi đưa ra chương trình Vulnerability Contributor nhằm thưởng cho bất cứ ai gửi thông báo lỗi. Công ty TippingPoint cũng thực hiện kế hoạch tương tự từ 2 năm trước.

Tuy nhiên, chuyên gia Terri Forslof của TippingPoint cho biết dự án của họ "không bao giờ có thể cạnh tranh được với giá bán cao ngất trên chợ đen". Những chợ đen như thế từ lâu đã tồn tại để trao đổi lỗi trong phần mềm của Microsoft, Cisco và nhiều nhà sản xuất khác.

Mới đây, trang đấu giá lỗ hổng WabiSabiLabi ra đời với mục đich tốt đẹp là tạo ra thị trường hợp pháp để các chuyên gia bảo mật có thể mua lỗi với giá phải chăng. Nhưng việc mô tả lỗ hổng trên trang này có thể vẽ đường cho người khác khai thác thông tin độc lập.

Trong khi đó, Microsoft không có ý định trả công cho những người đóng góp với lý do có quá nhiều nhà nghiên cứu nhiệt tình cung cấp phát hiện của họ tới Microsoft để tăng uy tín cho bản thân mà không cần đòi tiền.