miércoles, 30 de agosto de 2017

Más de 500.000 dólares por encontrar agujeros de seguridad en una competición internacional

Cada vez son más las empresas (tecnológicas en su mayoría) que ofrecen programas de recompensa, o bug bounty, para que los hackers y profesionales de la seguridad informática encuentren agujeros y vulnerabilidades en sus programas, sistemas o software antes de que lo hagan los “malos”. De esta forma, ofreciendo una recompensa monetaria, atraen a los mejores talentos del hacking que se unen a la lucha. Estos programas han tenido tanto éxito encontrando vulnerabilidades, que incluso se han creado eventos donde se reúnen hackers ad hoc para concursar en programas bug bounty masivos. Uno de ellos es Mobile Pwn2Own de Zero Day Initiative. La competición tendrá lugar los días 1 y 2 de noviembre, durante la celebración de la Conferencia PacSec 2017 en Tokio. El concurso recompensará a los investigadores de seguridad por demostrar y revelar ataques zero-day (o día cero, que todavía no han sido descubiertos) contra los dispositivos móviles más recientes y populares.
Los concursantes recibirán dinero en efectivo y premios durante la competición por descubrir vulnerabilidades y técnicas de explotación contra los parches más actualizados en las plataformas móviles más populares. Los objetivos de este año incluyen el iPhone 7 de Apple, Samsung Galaxy S8, Google Pixel y Huawei Mate9. Después del concurso, los fabricantes tendrán 90 días para producir parches para estos errores, en lugar de la ventana de divulgación estándar de 120. Esto refleja la integridad de los exploits ocasionados con éxito durante el concurso. Dado que se trata de vulnerabilidades prácticas con aplicaciones demostradas, una ventana de parche acortada ayuda a proteger más rápidamente al usuario final contra fallos potencialmente dañinos.

Interesantes premios

Para atraer a talentos del hacking, es importante que este tipo de programas cuenten con premios interesantes por descubrir las diferentes vulnerabilidades. No son nada fáciles de encontrar, requieren altos conocimientos de los diferentes sistemas y muchas, muchas horas de trabajo. Y eso hay que recompensarlo. En esta tabla se muestran los premios a cambio de encontrar agujeros de seguridad en las distintas categorías:
Categorías Objetivo Premio en Metálico Puntos Máster Pwn
Navegador Chrome 50.000 $ 10
Safari 40.000 $ 10
Browser 30.000 $ 8
Corta distancia y WiFi Bluetooth 40.000 $ 8
NFC 50.000 $ 8
WiFi 60.000 $ 8
Mensajería SMS 60.000 $ 12
MMS 60.000 $ 12
Banda base * 100.000 $ 20

Además de las categorías estándar y los premios, hay bonus adicionales por ejecutar código con privilegios del kernel y tener la carga útil persistente después de un reinicio.

Más...

Fuente:bitlifemedia.com


No hay comentarios: