Iniciativa vai premiar pesquisadores de segurança por encontrar e reportar vulnerabilidades em software amplamente utilizados.
Um novo programa de recompensas de bugs patrocinado pela Microsoft e pelo Facebook vai premiar pesquisadores de segurança por encontrar e reportar vulnerabilidades em software amplamente utilizados e que possuem o potencial de afetar um grande número de usuários da Internet.
O programa será executado por um grupo de pesquisadores do Facebook, do Google, da Microsoft e de várias outras empresas que ajudaram a gerir ou participaram de outros programas de recompensas de segurança ao longo dos anos.
"Nossas experiências nos deixaram com o objetivo de melhorar a divulgação de vulnerabilidades para todos os envolvidos em fazer da Internet um lugar melhor", disseram os pesquisadores do hackerone.com, site que hospeda o novo programa de recompensas de bugs e que vai ser a conexão entre os caçadores de brechas e as equipes de respostas que podem resolver as falhas relatadas.
O novo programa vai premiar as falhas encontradas no Python, Ruby, PHP e intérpretes Perl; ferramentas de desenvolvimento Django, Ruby on Rails e Phabricator e frameworks; servidores Apache e Nginx, e mecanismos de proteção de aplicativos do Google Chrome, Internet Explorer 10 , Adobe Reader e Flash Player.
A descoberta de problemas de segurança que afetam implementações de software de vários fornecedores ou de um fornecedor com uma quota de mercado dominante, como vulnerabilidades em protocolos de Internet, também será recompensada.
Exemplos de vulnerabilidades do passado que se qualificaram nesta categoria incluem o ataque de colisão em 2008 contra a função de hash MD5, que foi usado para gerar um certificado CA forjado; o ataque BEAST contra SSL e a vulnerabilidade de envenenamento do cache DNS relatado pelo pesquisador de segurança Dan Kaminsky em 2008, disseram os organizadores do programa.
Os valores de recompensas poderão variar dependendo da gravidade dos problemas reportados e os softwares que eles afetam.
Por exemplo, recompensas para encontrar vulnerabilidades no Phabricator começam com 300 dólares e podem chegar a 3 mil dólares, mas as recompensas para vulnerabilidades em ambientes de simulação de aplicações ou protocolos de Internet começam em 5 mil dólares e podem ser significativamente aumentadas, a critério do painel de revisão.
No caso de alguns projetos de software, apresentando um patch junto com um relatório de vulnerabilidades irá dobrar a recompensa.
O novo programa tem foco não somente em pesquisadores de segurança, mas também em qualquer um que descobra um problema de segurança, desde que estejam em conformidade com a filosofia e as diretrizes de divulgação do programa. Isso inclui pesquisadores acadêmicos, engenheiros de software, administradores de sistemas e mesmo tecnólogos casuais.
As recompensas são atualmente patrocinadas pela Microsoft e pelo Facebook, mas o painel HackerOne incentiva as equipes de resposta que irão resolver os problemas relatados a motivar financeiramente as pesquisa de segurança, se puderem pagar por isso.
Google
No mês passado, o Google anunciou uma iniciativa semelhante para pagar por correções de segurança e de fortalecimento de código em aplicações open-source amplamente utilizadas e bibliotecas de softwares, incluindo OpenSSL, OpenSSH, BIND, libjpeg, libpng e outros.
Isso pode explicar por que o Google não está patrocinando o HackerOne, apesar de Chris Evans, engenheiro de segurança da equipe de segurança do Google, estar no painel do HackerOne.
O patrocínio do programa pela Microsoft pode indicar que a empresa tem suavizado a sua posição sobre o pagamento por vulnerabilidades individuais - prática pela qual se opõe há anos.
A gigante de Redmond lançou dois programas de recompensas para seus próprios produtos em junho, mas com um objetivo de gratificar a pesquisa em novas técnicas defensivas ou métodos de exploração que ignoram as defesas existentes, ao invés de recompensar a descoberta de falhas de segurança individuais.
Na segunda-feira, a empresa estendeu um daqueles programas para também premiar relatos de novas técnicas de ataque descobertas por profissionais de segurança em ataques ativos.
A Microsoft também foi responsável por um programa mais tardicional de recompensas de bug em junho, para pagar pelas vulnerabilidades encontradas na versão preview do Internet Explorer 11 - mas que o programa durou apenas 30 dias.
