Cada vez son más habituales los programas de compensación económicos por encontrar fallos de seguridad. Los llamados "Bug Bountys" reparten dinero a los investigadores.
Incluso la semana pasada el CEO de Google Apps, Eran Feigenbaum, afirmaba que las empresas deben tratar con respeto a los hackers. En una entrevista Feigenbaum afirmaba que pese a tener 450 profesiones de la seguridad en plantilla que vigilan regularmente su software, usando programas de recompensas de Seguridad se pueden tener en cuenta agujeros que no estaban previstos.
"Algunas empresas por lo general responden con acciones legales. Feigenbaum dijo: "Hemos optado por un enfoque diferente, en el que se da gracias a la gente." Según Feigenbaum lograr que las empresas gracias a los hackers a cabo un nuevo par de ojos para detectar problemas.
"Incluso con 450 profesionales de la seguridad que vigilan regularmente nuestro software si es seguro, usted recibirá al trabajar con la comunidad de seguridad enteramente una nueva contribución, teniendo en cuenta cosas pensaron que usted mismo podría pensar," Feigenbaum mostró más tarde en la CNBC saber. También asesora a empresas para alentar a los piratas informáticos el "derecho" a hacerlo, tratándolos con respeto y de pago. "Es importante para darles las gracias."
Ámbito de Aplicación (Scope) Productos
- Nexus 6
- Nexus 9
Cantidades de Recompensa
La cantidad de la recompensa dependerá de la gravedad de la vulnerabilidad y de la calidad del informe. Un informe de error que incluye código reproducción obtendrá más que un simple informe señalando el código vulnerable. Una prueba CTS bien escriao y el parche se traducirá en una recompensa aún mayor.Las cantidades de recompensa de base para la gravedad de las vulnerabilidades serán típicamente:
- Crítica - $ 2,000
- Alta - $ 1.000
- Moderada - $ 500
Google alienta y recomienda la divulgación responsable, y creemos que la divulgación responsable es una calle de dos vías; es nuestro deber para corregir errores graves dentro de un plazo razonable.
Esta tabla muestra una visión general del programa de recompensa por recompensas típicos:
| Severity | Bug | Test case | CTS / patch | CTS+Patch |
|---|---|---|---|---|
| Critical | $2,000 | $3,000 | $4,000 | $8,000 |
| High | $1,000 | $1,500 | $2,000 | $4,000 |
| Moderate | $500 | $750 | $1,000 | $2,000 |
| Low | $0 | $333 | $500 | $1,000 |
Además de estos niveles de recompensa, ofrecemos recompensas adicionales para hazañas funcionales:
- Un exploit o cadena de exploits que conducen al núcleo compromiso de una aplicación instalada o con acceso físico al dispositivo obtendrá hasta un adicional de $ 10.000. Pasando por un vector de ataque a distancia o de proximad puede obtener hasta un adicional de $ 20.000.
- Un exploit o cadena de exploits que conducen a ETE (TrustZone) o compromiso de arranque verificado de una aplicación instalada o con acceso físico al dispositivo obtendrá hasta un adicional de $ 20.000. Pasando por un vector de ataque a distancia o proximal puede obtener hasta un adicional de $ 30.000.
Responsible Disclosure (Divulgación responsable)
Informar plenamente de los detalles, dando tiempo a hacer los cambios antes de los detalles de la falla se hagan públicos (responsible disclosure).
Por ejemplo Google Project Zero nos da un plazo de divulgación 90 días cuando notificamos errores Android. Creemos que esto es razonable.
Fuente:
https://www.google.com/about/appsecurity/android-rewards/index.html
Algunos ejemplos Bug Bounty Programs
No hay comentarios:
Publicar un comentario