Llegamos a ustedes gracias a:



Noticias

Google pagará por encontrar los errores de su navegador Chrome

[29/01/2010] Google anunció ayer un programa de búsqueda de errores que pagará a los investigadores 500 dólares por cada vulnerabilidad que reporten en el navegador Chrome y su base de fuente abierta.

En una entrada en el blog del proyecto Chromium, Chris Evans, que trabaja en el equipo de seguridad de Chrome, indicó que la recompensa base sería de 500 dólares, pero que los bugs particularmente graves o particularmente ingeniosos obtendrían premios de 1.337 dólares cada uno.
Este último importe es una referencia a leet, una especie de jerga informática utilizada por algunos investigadores en que, Leet se representa como 1337.
El hallazgo de nuevas vulnerabilidades en Chrome, Chromium -el proyecto de código abierto que Google utiliza para armar Chrome- y los plug-ins que se incluyen con Chrome, tales como Google Gears, se recompensarán , explicó Evans. Los errores considerados high o críticos en el sistema de clasificación de Chrome tienen preferencia, añadió, pero también se pueden tomar en consideración otros.
Esperamos que... este programa aliente a nuevas personas a participar en la seguridad de Chromium, indicó Evans. Cuanto más personas se involucren en el escrutinio del código de Chromium y en su comportamiento, más seguros estarán nuestros millones de usuarios.
Internet Explorer, Safari, Firefox... estos navegadores han estado allí por mucho tiempo, indicó Pedram Amini, director del Equipo de Investigación de Seguridad de TippingPoint de 3Com en Austin, Texas, que opera la Zero Day Initiative (ZDI), uno de los dos más conocidos programas de búsqueda recompensada de errores. Pero, Chrome, y ahora Chrome OS, necesitan investigadores. Google necesita que la gente ponga los ojos en el objetivo.
El nuevo programa de recompensas de Google no es el primero por parte de un proveedor de software que busca ayuda para acabar con las vulnerabilidades en su propio código, pero sí es la empresa más grande que ha dado este paso, señaló Amini. Microsoft, por ejemplo, tradicionalmente ha rechazado cualquier afirmación de que pague por vulnerabilidades. Esto será beneficioso para Google, agregó Amini. En realidad hay pocos proveedores que juegan en el mercado de recompensas, pero Google lo hace sin duda de manera interesante.
Ambos Amini y Evans de Google citaron el programa similar de Mozilla como el primer proveedor notable que patrocinó recompensas. Mozilla comenzó con 500 dólares por vulnerabilidad en agosto del 2004, y aún se encuentra en operación. El programa de Mozilla paga por los errores en el código utilizado para crear Firefox, Thunderbird y otras aplicaciones de código abierto.
Mozilla no quiso comentar sobre la decisión de Google de pagar recompensas, o responder a preguntas sobre el estado actual de su propio programa de recompensa por errores.
Las recompensas motivan a los investigadores, explicó Amini. Si los investigadores están buscando un objetivo para realizar una auditoría, es más probable que se fijen en el código del que está ofreciendo una recompensa monetaria.
ZDI de TippingPoint recibe y paga por muchos errores de navegador, reconoció Amini, pero no vemos a Google como un competidor. Nos centramos sobre todo en Internet Explorer y Firefox, porque ahí es donde se encuentra la cuota de mercado, y hasta cierto punto en Safari, porque es el navegador predeterminado de Mac OS, y una vulnerabilidad allí en Safari también afecta generalmente al iPhone.
De las ocho vulnerabilidades de Internet Explorer que Microsoft parchó la semana pasada con su actualización de emergencia, cinco habían sido descubiertas por investigadores que recibieron premios de la ZDI.
Pero Chrome es ahora un área gris para nosotros, señaló Amini. Por ejemplo, TippingPoint volverá a patrocinar el concurso de hackers Pwn2Own en la conferencia de seguridad CanSecWest en Vancouver, British Columbia, a finales de marzo, pero no ha decidido si va a incluir a Chrome en la competencia de hackers de navegador, como lo hizo el año pasado.
Amini afirma que no hay comparación entre los 500 dólares que Google y Mozilla pagan por los errores, y las recompensas que ofrece ZDI. Nosotros pagamos diez veces más de lo que están pagando, aseguró Amini. Y en el mercado negro [algunas] vulnerabilidades de los navegadores pueden llegar hasta los 30 mil dólares.
Los investigadores pueden publicar sus resultados una vez que Google ha parchado la falla, señaló Evans, pero fue vago acerca de si su equipo pagaría una recompensa por un error que se dio a conocer antes de la instalación del parche. Animamos la divulgación responsable, escribió en una entrada de blog, respondiendo a su propia pregunta de si las vulnerabilidades reveladas públicamente serían elegibles.
Las recompensas son del tipo el primero que llega, gana, indicó Evans, en caso de que varios investigadores presenten la misma vulnerabilidad.
Cuando Google actualizó el lunes pasado Chrome para Windows a la versión 4.0, parchó 13 vulnerabilidades de seguridad, y añadió soporte para la sincronización de favoritos y extensiones del explorador.
Gregg Keizer, Computerworld (US)