Activa las notificaciones para estar al tanto de lo más nuevo en tecnología.

Microsoft expande su programa de recompensas

La empresa de las ventanas, como también hace Google en su momento, ofrece un programa de recompensas por encontrar errores, bugs, en sus programas. Por...

microsoft_bugsLa empresa de las ventanas, como también hace Google en su momento, ofrece un programa de recompensas por encontrar errores, bugs, en sus programas. Por ejemplo, ahora Microsoft ha lanzado un programa de recompensas para su proyecto Spartan (el sucesor de Internet Explorer) y el programa lo ha expandido al “Online Services Bug Bounty” y al “Mitigation Bypass Bounty”.

El proyecto Spartan Bounty es de corto plazo, y corre hasta el 22 de junio. Quienes encuentren vulnerabilidades explotables podrán hacerse de “botines” que van desde los 500 a los 15 mil dólares, basados en los criterios que Microsoft ponga sobre la calidad y complejidad de la vulnerabilidad hallada.

Este programa está abierto a todo aquel que quiera participar y tenga al menos 14 años de edad y que, desde luego, no sea empleado o esté ligado de alguna manera a Microsoft (por aquello del conflicto de intereses, cosa que nosotros los mexicanos conocemos muy bien), y además, que no sea residente de algún país o región en donde los Estados Unidos impongan sanciones. Si alguien trabaja en una organización de investigación en seguridad, puede participar solamente considerando su capacidad individual.

Se incluyen cuatro tipos de vulnerabilidades: En el nivel más bajo está el Address Space Layout Randomization (“ASLR”) Info Disclosure, que es la vulnerabilidad que lleva a dar información confiable sobre el acceso del stack de la memoria que desarrolla y ejecuta el ASLR. Para calificar para las grandes recompensas hay que dar un programa que explote la vulnerabilidad y un reporte de alta calidad pertinente a lo que se llama Remote Code Execution (RCE) o a un escape del arenero (sandbox), cuya idea original es impedir que el código escape de una región de memoria para impedir que se filtre malware en alguna parte del sistema.

Microsoft está extendiendo su programa de recompensas con el Online Services Bug Bounty, que se lanzó en septiembre pasado y que de igual manera, la máxima recompensa es de 15,000 dólares. Originalmente el programa se aplicaba solamente a Office 365 pero ahora incluye un número de servicios de Azure tales como Azure virtual machines, Azure Cloud Services, Azure Storage y Azure Active Directory. Se añade también el programa Mitigation Bypass Bounty, el cual en el pasado dio unos 100 mil dólares por las vulnerabilidades relacionadas al escape Hyper-V, Guest-to-Host, Guest-to-Guest o Guest-to-Host-DOS.

De acuerdo con Jason Shirk, que escribió en el blog de TechNet: “Estas adiciones importantes a los programas de recompensas reflejan el giro y evolución de la tecnología hacia la nube”.

Evidentemente este programa es interesante pero se está apelando a gente con alta capacidad técnica para encontrar estas vulnerabilidades, que seguro las hay, pero cada vez son más difíciles de explotar.

Referencias:

Programa de recompensas de Microsoft
i-programmer

Comentarios