Microsoft ha lanzado hoy un concurso de 250.000 dólares para los investigadores que desarrollan tecnologías de defensa de seguridad que tienen que ver con las clases de todo explota.

Los premios en efectivo total para Microsoft “BlueHat Premio” Concurso fácilmente eclipsa cualquier recompensa error que se ha dado por sus rivales.

Google, por ejemplo, que paga por los informes de vulnerabilidades Chrome, ha pasado poco más de $ 110.000 lo que va del año, ponerlo en un ritmo para entregar alrededor de US $ 190.000 en 2011.

Microsoft dijo que la competencia es un esfuerzo para aprovechar los cerebros de los investigadores para algo más grande que una vulnerabilidad de aquí, hay un error.

“Queremos que sea más costoso y difícil para que los delincuentes aprovechan las vulnerabilidades”, dijo Katie Moussouris, una ventaja de seguridad estratega senior de Microsoft, en una conferencia de prensa hoy. “Queremos inspirar a los investigadores a centrar su experiencia en tecnologías de seguridad defensiva”.

La compañía anunció el concurso de este año la conferencia de seguridad Sombrero Negro se puso en marcha hoy en Las Vegas.

Moussouris dijo que Microsoft rechazó la idea de un programa de recompensas de errores, y en lugar de vino para arriba con el concurso, que comienza hoy y finalizará el 01 de abril 2012. Los ganadores serán anunciados en la conferencia Sombrero Negro del año que viene la seguridad.

“En general, nos pareció que para adoptar un enfoque para bloquear las clases de todo era la mejor manera de comprometerse con la comunidad de investigación y proteger a los clientes”, dijo cuando se le preguntó por Moussouris Computerworld por qué la empresa no instituyó un programa de recompensas en lugar de errores.

Moussouris citó estadísticas que mostraban hoy Microsoft no necesita un programa de recompensas de errores similar a la que Google funciona para su navegador Chrome, o que HP TippingPoint funciona para adquirir las vulnerabilidades en múltiples sistemas operativos, incluyendo Windows y Mac OS X o Microsoft o de terceros aplicaciones de otros fabricantes.

De acuerdo con Moussouris, el 90% de los investigadores de seguridad privada que informe las vulnerabilidades de Microsoft hacerlo directamente en lugar de someterlos a un corredor de error como TippingPoint.

También afirmó que recompensas – que para Google max a cabo en poco más de $ 3,000 – están muy lejos del dinero que se hará mediante su venta en el mercado negro.

Andrew Storms, director de operaciones de seguridad en nCircle de seguridad, llamado el concurso de “una idea fabulosa”, como él estaba de acuerdo con Moussouris. “Históricamente, la mayoría de los errores vienen directamente a ellos, por lo que una recompensa de error no sería el mejor uso de su dinero en este momento”, dijo Storms.

Y aplaudió a Microsoft de pensar fuera de la caja.

“Se están llevando un proceso de pensamiento hacia el futuro aquí, y poner el dinero detrás de él”, dijo Storms. “Soy optimista sobre esto porque es algo nuevo y diferente, y la industria de seguridad necesita más nuevo y diferente. Estamos en una especie de jaula de hamster en este momento con los insectos.”

El Premio BlueHat otorgará $ 200.000 a la ganadora del primer lugar, $ 50,000 por el segundo lugar, y una suscripción a la red de desarrolladores de Microsoft, como el premio del tercer lugar. Los tres ganadores viajarán a Sombrero Negro del próximo año por Microsoft, que dará a conocer los resultados del concurso entonces.

Microsoft ha publicado los detalles del concurso en su sitio web, donde se dijo que era la esperanza de los investigadores podría llegar a “una nueva tecnología de mitigación de tiempo de ejecución diseñado para prevenir la explotación de vulnerabilidades de seguridad de la memoria.”

Para las tormentas, que sonaba como Microsoft estaba buscando una tecnología o una técnica para mitigar el llamado “retorno de la programación orientada a”, o las vulnerabilidades de la ROP.

ROP es un foco de los investigadores en este momento, dijo Storms, ya que puede ser usado por atacantes para eludir las actuales tecnologías de seguridad de Windows como ASLR, o la asignación al azar del espacio de direcciones de diseño. ASLR es una tecnología anti-exploit utilizado en Windows para que sea más difícil para los hackers para predecir los bloques disponibles de memoria que están disponibles para ejecutar su código malicioso.

Las tormentas se describe como ROP juntando las llamadas a funciones de manera que no se pretende, y puede ser utilizado para algún tipo de ventaja para el atacante con el fin de cargar el código en la memoria.

“Siempre va a haber algún trozo de memoria que podría ser útil para la retinopatía del prematuro”, dijo Storms. “Si Microsoft es capaz de acabar con el método de RP de la ejecución, que es una gran victoria.”

BlueHat ganadores del Premio se conservan los derechos intelectuales de su invención, sino que debe de licencias a Microsoft sobre una base libre de regalías, dijo Moussouris. Las inscripciones elegibles deben proporcionar un prototipo que funciona con Windows y se desarrollará con el SDK de Windows (Software Developer Kit), de acuerdo con las reglas del concurso.

Un panel de empleados de Microsoft en el Microsoft Security Response Center (MSRC), el grupo de Windows y el brazo de investigación de Microsoft juzgará las entradas.

“Microsoft sabe que siempre habrá errores en su código, sino una tecnología de defensa para añadir a ASLR y DEP [Prevención de ejecución de datos, otro anti-explotación de salvaguardia en Windows] evitará los errores de ser recurribles,” dijo Storms.

Pero amortización del concurso podrían pasar años en el camino.

“Creo que [la tecnología] podría aparecer en Windows 9, o tal vez en una versión de IE, como es decir, 11 o sea 12″, dijo Storms. “Windows 8 ya está sobre la chepa de su ciclo de producción.”

Es posible que Microsoft podría ser capaz de integrar la tecnología ganadora de un Service Pack para Windows 8, que se espera que debute el próximo año, quizás tan pronto como abril o tan tarde como el próximo otoño, las tormentas añadió.

“Una cosa es que alguien venga con la idea y el prototipo, es otra de Microsoft para realmente implementar en Windows,” dijo Storms.

Microsoft no se ha comprometido a volver a ejecutar el concurso el próximo año, pero dijo hoy que evaluaría esta primera ejecución, a continuación, determinar cómo o si los cambios que la competencia en el futuro.

Gregg Keizer cubre Microsoft, los problemas de seguridad, Apple, navegadores web y noticias sobre tecnología en general para romper Computerworld. Gregg seguir en Twitter en@ Gkeizer, en Google + o suscribirte al feed RSS de Gregg. Su dirección de correo electrónico está gkeizer@computerworld.com.

Ver más artículos de Gregg Keizer.

Lea más acerca de la seguridad en el Centro de Seguridad de Computerworld tema.