Cada vez son más las empresas (tecnológicas en su mayoría) que ofrecen programas de recompensa, o bug bounty, para que los hackers y profesionales de la seguridad informática encuentren agujeros y vulnerabilidades en sus programas, sistemas o software antes de que lo hagan los “malos”. De esta forma, ofreciendo una recompensa monetaria, atraen a los mejores talentos del hacking que se unen a la lucha.
Estos programas han tenido tanto éxito encontrando vulnerabilidades,
que incluso se han creado eventos donde se reúnen hackers ad hoc para
concursar en programas bug bounty masivos. Uno de ellos es Mobile Pwn2Own de
Zero Day Initiative. La competición tendrá lugar los días 1 y 2 de
noviembre, durante la celebración de la Conferencia PacSec 2017 en
Tokio. El concurso recompensará a los investigadores de seguridad por
demostrar y revelar ataques zero-day (o día cero, que todavía no han
sido descubiertos) contra los dispositivos móviles más recientes y
populares.
Los concursantes recibirán dinero en efectivo y premios
durante la competición por descubrir vulnerabilidades y técnicas de
explotación contra los parches más actualizados en las plataformas
móviles más populares. Los objetivos de este año incluyen el iPhone 7 de Apple, Samsung Galaxy S8, Google Pixel y Huawei Mate9.
Después del concurso, los fabricantes tendrán 90 días para producir
parches para estos errores, en lugar de la ventana de divulgación
estándar de 120. Esto refleja la integridad de los exploits ocasionados
con éxito durante el concurso. Dado que se trata de vulnerabilidades
prácticas con aplicaciones demostradas, una ventana de parche acortada
ayuda a proteger más rápidamente al usuario final contra fallos
potencialmente dañinos.
Interesantes premios
Para atraer a talentos del hacking, es importante que este tipo de
programas cuenten con premios interesantes por descubrir las diferentes
vulnerabilidades. No son nada fáciles de encontrar, requieren altos
conocimientos de los diferentes sistemas y muchas, muchas horas de
trabajo. Y eso hay que recompensarlo. En esta tabla se muestran los
premios a cambio de encontrar agujeros de seguridad en las distintas
categorías:
| Categorías | Objetivo | Premio en Metálico | Puntos Máster Pwn |
| Navegador | Chrome | 50.000 $ | 10 |
| Safari | 40.000 $ | 10 | |
| Browser | 30.000 $ | 8 | |
| Corta distancia y WiFi | Bluetooth | 40.000 $ | 8 |
| NFC | 50.000 $ | 8 | |
| WiFi | 60.000 $ | 8 | |
| Mensajería | SMS | 60.000 $ | 12 |
| MMS | 60.000 $ | 12 | |
| Banda base | * | 100.000 $ | 20 |
Además de las categorías estándar y los premios, hay bonus adicionales por ejecutar código con privilegios del kernel y tener la carga útil persistente después de un reinicio.
Más...
Fuente:bitlifemedia.com
No hay comentarios:
Publicar un comentario