Microsoft ha lanzado hoy un concurso de $250.000 para los investigadores que desarrollan tecnologías de seguridad defensiva que tratan con todos clases de vulnerabilidades.

El efectivo total de premios de Microsoft “BlueHat Premio” concurso fácilmente empequeñece cualquier recompensa de error que se ha dado por sus rivales.

Google, por ejemplo, que paga para los informes de vulnerabilidad de cromo, ha gastado unos $110.000 hasta ahora este año, darle un ritmo a la mano de unos $190.000 en 2011.

Microsoft dijo que la competencia es un esfuerzo para aprovechar los investigadores cerebros para algo más grande que una vulnerabilidad de aquí, hay un error.

“Queremos que sea más costoso y difícil para los delincuentes que aprovechan las vulnerabilidades,” dijo Katie Moussouris, una ventaja de estratega senior de seguridad de Microsoft, en una Conferencia de prensa hoy. “Queremos inspirar a los investigadores centran sus conocimientos en tecnologías de seguridad defensiva”.

La compañía anunció el concurso como Black Hat este año Conferencia de seguridad puso en marcha hoy en Las Vegas.

Moussouris dijo que Microsoft rechazó la idea de un programa de recompensas de fallos y en su lugar surgieron con el concurso, que se inaugura hoy y se ejecuta a través de 01 de abril de 2012. Los ganadores se anunciarán en la Conferencia de seguridad Black Hat del próximo año.

“En general, nos parecía que adoptar un enfoque para bloquear todos clases era la mejor manera de colaborar con la comunidad de investigación y proteger a los clientes,” dijo Moussouris cuando se le preguntó por Computerworld, por qué la empresa no instituir un programa de recompensas de fallos en su lugar.

Moussouris citó estadísticas hoy que mostraban Microsoft no necesitan un programa de recompensas de error similar a la que Google opera para su navegador Chrome, o que HP TippingPoint va a adquirir las vulnerabilidades en varios sistemas operativos, incluidos Windows y Mac OS X, o Microsoft o aplicaciones de terceros.

De acuerdo con Moussouris, el 90% de los investigadores de seguridad que privadamente vulnerabilidades informe a Microsoft hacen tan directamente en lugar de presentarlas a un corredor de errores como TippingPoint.

También argumentó que recompensas–que para Google max fuera en poco más de $3.000–están muy lejos el dinero por la venta de las mismas en el mercado negro.

Andrew tormentas, el director de operaciones de seguridad en nCircle seguridad, había llamado el concurso “una idea fabulosa” como él está de acuerdo con Moussouris. “Históricamente, la mayoría de los errores vienen directamente a ellos, por lo que una recompensa de error sería el mejor uso de su dinero en este momento,” dijeron tormentas.

Y él aplaudió Microsoft para pensar fuera del cuadro.

“Está teniendo un proceso de pensamiento progresista aquí y poniendo dinero detrás de ella, dijeron tormentas. “Estoy alcista sobre esto porque es algo nuevo y diferente, y la industria de seguridad necesita más nuevas y diferentes. Somos una especie de en una jaula de hamster ahora con errores.”

El Premio de BlueHat otorgará $200.000 para el ganador del primer lugar, $50.000 por el segundo lugar y una suscripción a la red de desarrolladores de Microsoft como el Premio de tercer lugar. Los tres ganadores serán volados para Black Hat el año próximo por Microsoft, que anunciará los resultados del concurso a continuación.

Microsoft ha publicado detalles del concurso en su Web, donde dijo que tenía la esperanza de los investigadores podrían llegar a “una novela runtime mitigación tecnología diseñada para prevenir la explotación de vulnerabilidades de seguridad de memoria”.

Para las tormentas, sonaba como Microsoft estaba buscando una tecnología o técnica para mitigar el llamado “retorno programación orientada” o vulnerabilidades ROP.

ROP es un foco de investigadores ahora, dijeron tormentas, porque puede ser usado por atacantes para eludir las tecnologías actuales de seguridad de Windows como ASLR o aleatorio de diseño de espacio de dirección. ASLR es una tecnología verde utilizada en Windows para hacer más difícil para los hackers predecir los bloques disponibles de memoria disponibles ejecutar su código malintencionado.

Las tormentas calificó de ROP piecing juntos las llamadas a funciones de maneras que no están destinados y pueden utilizarse para alguna ventaja al atacante para cargar el código en la memoria.

“Siempre va a estar algunos bits de memoria que puede ser útil para RP,” dijo tormentas. “Si Microsoft es capaz de acabar con el método de RP de ejecución, es un gran logro”.

Ganadores del Premio de BlueHat conservarán los derechos intelectuales de su invención, pero deben autorizar a Microsoft sobre una base libre de regalías, dijo Moussouris. Las entradas elegibles deben proporcionar un prototipo que se ejecuta en Windows y desarrollarse utilizando Windows SDK (kit de desarrollo de software), de acuerdo con las reglas del concurso.

Un grupo de empleados de Microsoft desde el Microsoft Security Response Center (MSRC), el grupo de Windows y el brazo de investigación de Microsoft juzgará las entradas.

“Microsoft sabe que siempre habrá errores en el código, pero una tecnología defensiva para agregar a ASLR y DEP [data execution prevention, otra salvaguardia verde en Windows] evitará esos fallos de ser útiles,” dijeron tormentas.

Pero amortización del concurso puede años por el camino.

“Creo que [la tecnología] podría mostrar en 9 de Windows, o quizás en una versión de IE, como IE 11 o 12 de IE,” dijeron tormentas. “Windows 8 está ya sobre la joroba en su ciclo de producción”.

Es posible Microsoft sería capaz de integrar la tecnología ganadora en un service pack para Windows 8, que se espera para debutar el año que viene, tal vez como pronto como abril o tan tarde como el próximo otoño, tormentas agregan.

“Es una cosa a alguien para topar con la idea y el prototipo, es otro de Microsoft para aplicarla efectivamente en Windows,” las tormentas, dijo.

Microsoft no ha comprometido a volver el concurso el año que viene, pero dijo hoy que sería evaluar esta primera ejecución, entonces determinar cómo o si la competencia cambia en el futuro.

Gregg Keizer cubre Microsoft, cuestiones de seguridad, Apple, navegadores y tecnología general noticias de Computerworld. Siga a Gregg en Twitter en @ gkeizer, en Google + o suscribirse a RSS de Gregg. Su dirección de correo electrónico es gkeizer@computerworld.com.

Ver más artículos por Gregg Keizer.

Lea más acerca de la seguridad en el centro de tema de seguridad de Computerworld.