O acesso à informação é um poder que muitos detém e pode ser também uma grande vantagem. A Marinha dos Estados Unidos tem presente esta ideia e por isso, agora, predispõem-se a pagar um valor a todos os que entregarem falhas de software.
A ideia em si não é nova, mas é a primeira vez que é colocada em prática por uma entidade militar bem conhecida.
A ideia da Marinha Norte Americana para esta “caça à falha” está no simples facto de assim conseguir explorar os seus inimigos que façam uso desse software.
Esta vantagem será significativa não apenas para os eliminar de vez, provavelmente de forma remota, mas também para para conseguir recolher informações sobre estes e sobre os seus planos.
A descoberta desta nova intenção surgiu num site das entidades militares e de outros organismos do estado que colocaram os seus pedidos de contratos, sendo descrito de forma muito simples, mas também muito directa.
the vendor shall provide the government with a proposed list of available vulnerabilities, 0-day or N-day (no older than 6 months old). . . .The government will select from the supplied list and direct development of exploit binaries.
Apesar de estar descrito que se propõem a pagar, não existe em qualquer momento indicação sobre os valores que estão em causa.
Esta medida não é uma novidade e é já seguida por várias empresas há muitos anos. A ideia de recompensar quem encontra falhas e problemas no software permite torná-los mais seguros e ao mesmo tempo motivar quem os procura.
A intenção da Marinha Norte americana segue o mesmo conceito, mas pretende usá-lo de forma diferente e com um propósito muito mais agressivo.
Resta saber se algum dos muitos que se dedicam a esta tarefa aceitam que as suas falhas sejam exploradas, em vez de serem corrigidas.