Showing posts with label sicurezza informatica. Show all posts
Showing posts with label sicurezza informatica. Show all posts

Tuesday, May 8, 2012

Google aggiorna le regole sulla ricompensa a chi identifica vulnerabilità nelle loro applicazioni

Links to this post
La ricerca delle vulnerabilità nel software è un'attività vecchia quanto il software stesso. 

Difatti lo sviluppo di malware non era l'unica attività condotta dagli hacker negli anni in cui la ricerca della celebrità costituiva l'impulso fondamentale a misurare le proprie competenze informatiche con quelle dei grandi colossi industriali, in primis IBM e Microsoft. Un modo altrettanto gratificante e non "borderline" come la creazione del malware, era quello di lavorare alla ricerca di vulnerabilità all'interno delle applicazioni e renderle pubbliche affinchè i vendor provvedessero ad emendare i loro errori rilasciando le apposite patch (correzione software).

Ora che l'era romantica della fama e della gloria del computer crime è decisamente alle nostre spalle, abbiamo visto un'evoluzione anche di questa tipologia di attività. 

Un aspetto interessante è la crescente attribuzione di ricompense in denaro da parte dei produttori di software, per coloro che sono in grado di fornire evidenza di una vulnerabilità nel loro software.

Particolarmente attiva in tal senso è Google che ha appena comunicato di aver pagato in poco più di 1 anno $460.000 a circa 200 persone per un totale di 780 vulnerabilità riguardanti l'intera galassia delle applicazioni presenti nel loro portafoglio.

Inoltre Google ha appena aggiornato le regole di questa specie di gara includendo per l'appunto nuove ricompense:

  • $20,000 per vulnerabilità che consentirebbero l'esecuzione di codice (malevolo)
  • $10,000 per vulnerabilità che consentirebbero "SQL injection" o tecniche di exploit equivalenti; o che consentirebbero di evitare i meccanismi di autenticazione ed autorizzazione
  • fino a $3,133.7 per malfunzioni riguardanti XSS, XSRF, ed altri difetti ad elevato impatto 


Se avete quindi identificato una vulnerabilità che ricade nelle suddette casistiche non vi resta altro che prendere penna e calamaio e scrivere a security@google.com.