Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Buscador

Entradas Mensuales

Suscripción

¿Quieres recibir las últimas novedades del blog en tu correo?

¡Suscríbete al feed!

Foro de elhacker.net - Noticias

elhacker.NET en Facebook

Entradas populares

PostHeaderIcon Google anuncia su programa de recompensas por encontrar bugs en Android




Google Android se une la extensa lista de programas por recompensas por encontrar fallos de seguridad, los ya famosos llamados "Bug Bountys". Así lo ha anunciado Google en su blog, que además del reconocimiento económico premiará con un reconocimiento público. El programa de recompensas sólo afecta por el momento a los modelos Nexus 6 y Nexus 9, los modelos que actualmente se venden en la Google Store de U.S.A.





Cada vez son más habituales los programas de compensación económicos por encontrar fallos de seguridad. Los llamados "Bug Bountys" reparten dinero a los investigadores.

Incluso la semana pasada el CEO de Google Apps, Eran Feigenbaum, afirmaba que las empresas deben tratar con respeto a los hackers. En una entrevista Feigenbaum afirmaba que pese a tener 450 profesiones de la seguridad en plantilla que vigilan regularmente su software, usando programas de recompensas de Seguridad se pueden tener en cuenta agujeros que no estaban previstos.

"Algunas empresas  por lo general responden con acciones legales. Feigenbaum dijo: "Hemos optado por un enfoque diferente, en el que se da gracias a la gente." Según Feigenbaum lograr que las empresas gracias a los hackers a cabo un nuevo par de ojos para detectar problemas.

"Incluso con 450 profesionales de la seguridad que vigilan regularmente nuestro software si es seguro, usted recibirá al trabajar con la comunidad de seguridad enteramente una nueva contribución, teniendo en cuenta cosas pensaron que usted mismo podría pensar," Feigenbaum mostró más tarde en la CNBC saber. También asesora a empresas para alentar a los piratas informáticos el "derecho" a hacerlo, tratándolos con respeto y de pago. "Es importante para darles las gracias."



Ámbito de Aplicación (Scope) Productos


  • Nexus 6
  • Nexus 9
Los bugs  en ROMS personalizadas son serán válidas para el programa de recompensas.

Cantidades de Recompensa

La cantidad de la recompensa dependerá de la gravedad de la vulnerabilidad y de la calidad del informe. Un informe de error que incluye código reproducción obtendrá más que un simple informe señalando el código vulnerable. Una prueba CTS bien escriao y el parche se traducirá en una recompensa aún mayor.

Las cantidades de recompensa de base para la gravedad de las vulnerabilidades serán típicamente:

  • Crítica - $ 2,000
  •  Alta - $ 1.000
  • Moderada - $ 500

Google alienta y recomienda la divulgación responsable, y creemos que la divulgación responsable es una calle de dos vías; es nuestro deber para corregir errores graves dentro de un plazo razonable.

Esta tabla muestra una visión general del programa de recompensa por recompensas típicos:


Severity Bug Test case CTS / patch CTS+Patch
Critical $2,000 $3,000 $4,000 $8,000
High $1,000 $1,500 $2,000 $4,000
Moderate $500 $750 $1,000 $2,000
Low $0 $333 $500 $1,000

Además de estos niveles de recompensa, ofrecemos recompensas adicionales para hazañas funcionales:

  •  Un exploit o cadena de exploits que conducen al núcleo compromiso de una aplicación instalada o con acceso físico al dispositivo obtendrá hasta un adicional de $ 10.000. Pasando por un vector de ataque a distancia o de proximad puede obtener hasta un adicional de $ 20.000. 
  • Un exploit o cadena de exploits que conducen a ETE (TrustZone) o compromiso de arranque verificado de una aplicación instalada o con acceso físico al dispositivo obtendrá hasta un adicional de $ 20.000. Pasando por un vector de ataque a distancia o proximal puede obtener hasta un adicional de $ 30.000.
Todos los bugs reportados deben hacerse mediante la plantilla:

Responsible Disclosure (Divulgación responsable)


Informar plenamente de los detalles, dando tiempo a hacer los cambios  antes de los detalles de la falla se hagan públicos (responsible disclosure).

Por ejemplo Google Project Zero nos da un plazo de divulgación 90 días cuando notificamos errores Android. Creemos que esto es razonable. 


Fuente:
https://www.google.com/about/appsecurity/android-rewards/index.html

Algunos ejemplos Bug Bounty Programs

0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.