La compañía dijo que pagará US$500 a quien reporte fallas generales, y más (no se indica cuánto) para quienes informen de bugs específicos. Para ganarse la recompensa, hay que ser el primero en informar privadamente sobre el bug, hay que darle un plazo razonable a la empresa para que pueda responder antes de dar a conocer la falla, y hay que vivir en un país que no esté “sancionado por Estados Unidos”. Lo sentimos, Cuba.

Mozilla fue uno de los primeros desarrolladores de software en crear un programa de recompensas, estrategia que siguió luego Google. Mozilla ha llegado a pagar hasta US$3.000 y Google US$3.133,7 por bugs muy serios.

Link: Security bug bounty (Facebook)

Microsoft ahora busca encontrar a la banda que operaba esta red. “Hemos decidido aumentar nuestros esfuerzos de descubrimiento civil para identificar a aquellos responsables de controlar la botnet Rustock, entregando una recompensa monetaria de US$250.000 por nueva información que resulte en la identificación, arresto y condena criminal de los individuos”, dijo Richard Boscovich, abogado de la Unidad de Crímenes Digitales de la empresa de Redmond.

Antes de que fuera desactivada, Rustock era la mayor fuente de spam del mundo. Todavía hay “cientos de miles” de PCs infectados con el malware que los une a la red, dice Boscovich. “Aunque la meta principal de nuestra operación legal y técnica es detener e interrumpir la amenaza que Rustock ha significado para todos los afectados, también creemos que quienes están tras Rustock deben ser responsabilizados por sus acciones”, indicó.

Microsoft cree que la banda está basada en Moscú o San Petersburgo en Rusia.

Link: $250k bounty to catch criminals behind huge spam botnet (Telegraph)

Nokia está en un periodo de cambio. Nuevo CEO, nuevo sistema operativo para sus productos. Es esta misma idea de renovación la que está detrás de “Invent with Nokia” un programa que busca que cualquier usuario le dé ideas a la compañía para nuevos productos.

La idea es que cualquier usuario común y corriente participe del programa, entregando sus ideas para teléfonos, funciones, aplicaciones, sistemas operativos, estándares de comunicación (si se te ocurre algo más rápido que 4G, bienvenido), etc. Si Nokia puede patentar la idea, te pagan.

El problema es que no está claro cuánto van a pagar por las ideas. Al parecer, depende del nivel del éxito del producto:

En principio, vas a recibir un premio si registramos una patente basada en tu invento. Puedes recibir otra compensación dependiendo del éxito del producto y el nivel de compensación que elijas al momento de registrar la patente.

¿Esperan que haya gente que elija recibir poco dinero? Por otro lado, si mandas una idea y Nokia responde que no quiere invertir en ella, sigues siendo dueño de la idea, los derechos no se traspasan a Nokia.

Link: Invent with Nokia

Sergey Glazunov descubrió un error crítico que Google describe como “stale pointer in speech handling”, es decir, código malicioso que surge durante la asignación dinámica de memoria en el manejador de palabras. Por lo tanto Glazunov fue el primer investigador a tomar mayor recompensa de la casa de Google, mientras que Mozilla ya entregó un cheque con una cifra similar a un niño de 12 años.

“Estamos encantados de entregar nuestra primera recompensa elite de 3,133.7 dólares por la seguridad de Chromium a Sergey Glazunov”, dijo Jason Kersey, gerente del programa Chrome.

En total, Google pagó 7.470 dólares a Glazunov por informar de cinco de los 16 defectos, siendo un error crítico el de mayor recompensa . Estos parches fueron integrados con la tercera actualización 8.0.552.237  de su actual versión “estable”.

Cabe recordar que Chrome encabezó la pasada lista “Dirty Dozen” de aplicaciones más vulnerables, sin embargo algunos expertos creen que esto se debe a que es un navegador relativamente nuevo y esto puede ser motivo por el que investigadores de seguridad pongan mucha atención en el descubrimiento de nuevas vulnerabilidades.

Link: Google pays record bounty for Chrome bug (ComputerWorld)

Hace tres meses Mozilla anunció que daría 3 mil dólares a quién encontrara fallas en Firefox. Pues Alex Miller, un chico de 12 años residente en San José (Estados Unidos) decidió dedicar un poco de su tiempo a encontrar alguna falla en el navegador y logró hacerse con el cheque.

¿Cómo lo hizo? Pues para completar su misión, Alex dedicó 90 minutos diarios a analizar las vulnerabilidades del navegador de Mozilla. Al cabo de un par de días ya había dado con un error, pero no era lo suficientemente importante como para ganar la recompensa.

Lejos de desilusionarse, Alex continuó en su empeño y a los diez días encontró una falla importante en Firefox (error del desbordamiento del búfer en “document.write”), la reportó y el equipo de la Fundación Mozilla la calificó como “crítica”, por lo que le envió un cheque de 3 mil dólares como recompensa.

Bien merecido tiene su premio, pues alertó de una falla que muchos no habían sido capaces de detectar. Y es que Alex es un niño prodigio: autodidacta, con gran facilidad para comprender libros técnicos, muy hábil en la construcción de robots y está aprendiendo Mandarín, según contó su madre a la prensa.

Sobre el destino del dinero se supo que una parte será destinada a comprar un nuevo computador para Alex, otro tanto será donado a una institución benéfica de protección animal y el resto lo ahorrarán en una cuenta para proyectos futuros del chico, como bien podría ser algún pago de sus estudios… Por lo visto, Alex y su madre también son muy buenos en administración, porque tampoco es que 3 mil dólares rindan para mucho.

Particularmente le doy las gracias a Alex por haber dedicado parte de su tiempo a detectar esta falla, que al ser corregida hará de Firefox un navegador más seguro para sus usuarios. Y además de felicitarlo por su esfuerzo, espero que haber alcanzado esta meta le sirva de incentivo para continuar sus progresos y desarrollar una carrera brillante, propia del niño genio que es. (Se lo escribo acá porque al ser un niño tan inteligente seguro también lee español y es fan de FayerWayer).

Link: Mozilla pays 12-year-old $3,000 for finding critical Firefox bug (Geek)

Pero al parecer, algunas personas no lo hacen todo por dinero. Johnathan Nightingale, director de desarrollo de Firefox, dijo en una entrevista reciente que entre el 10% y 15% de los bugs reportados son entregados sin cobrar la recompensa:

Mucha gente nos dice “no se preocupen. Den el dinero a la EFF (Electronic Frontier Foundation) o mándenme una polera”.

Según Nightingale, el programa ha sido todo un éxito para ellos. Por eso decidieron subir la recompensa, lo que ha hecho que otras compañías (como Google) creen programas similares.

Link: More than one in 10 Mozilla bug finders turn down cash (MacWorld)

Su investigación y entorno de seguridad ha cambiado enormemente desde entonces, por eso se atreven a actualizar su programa de recompensas a 3 mil dólares y una camiseta. Pero la recompensa solo se aplica a fallas críticas explotadas de forma remota que no se hayan notificado antes para las últimas versiones de Firefox, Thunderbird y Firefox Mobile.

Esta recompensa económica está financiada por Mark Shuttleworth y Linspire, dos grandes nombres en la comunidad opensource.

Por otro lado Google ofrece un programa similar donde premia con USD$1337 a quién descubra vulnerabilidades graves en Chrome. Mientras Zero Day (TippingPoint) y iDefense (Verisign) desde hace unos años también pagan hasta 10 mil dólares a los investigadores en seguridad que ayudan a encontrar vulnerabilidades que permitan intrusiones online.

Me gustaría un programa similar para IE, creo que sería más fácil conseguir billetes.

Link: Mozilla ups the ante, gives away $3,000 for Firefox bugs (TGDaily)

Hace algunos días en el sitio Valleywag ofrecieron una suculenta (aunque dudosamente ética) recompensa a quienes les entregaran algún tipo de prueba de la existencia del tablet de Apple (iSlate para los amigos). De partida ofrecían US$ 10.000 por fotos reales del equipo, otros US$ 20.000 por un video donde saliera el artilugio, US4 50.000 si en las fotos aparecía el mismo Steve Jobs utilizándolo y US$ 100.000 a quien les pasara uno para jugar con el durante una hora.

Claramente lo que se pretendía acá es que alguien que estuviera involucrado en el desarrollo del dispositivo filtrara la información, lo que con seguridad se traduciría en una violación del contrato de confidencialidad que se firma en este tipo de casos, por lo que encendió las alarmas en el departamento jurídico de la compañía de la manzana blanca.

No pasaron muchos días para que los encargados del sitio recibieran una carta de parte de los abogados de Apple, donde los conminaban a retirar el concurso de forma inmediata. Lo interesante del asunto es que en parte del contenido de dicha carta se señala:

La información por la que usted ofrece dinero, así como también las fotos de un producto que aún no es presentado, forman parte de los secretos comerciales de Apple.

La compañía mantiene este tipo de información y las cosas que usted está solicitando -la manera como funciona, el tamaño, nombre, software- así como cualquier otra información de su apariencia, características y prototipos, en estricto secreto.

Lo anterior para muchos sólo sirvió como confirmación de la existencia del tablet de Apple, por lo que los chicos de Valleywag decidieron dar por ganadores del concurso a la misma Apple y a sus abnegados abogados.

Link: Update: Apple Wins the First Prize in Our Tablet Scavenger Hunt (Valleywag)

(cc) OndraSoukup

Parece ser que el gusano Conficker (Downadup) se esta convirtiendo en un verdadero dolor de cabeza para Microsoft, tanto así que la compañía ha decidido ofrecer 250.000 dólares por la entrega de información que permita dar con sus creadores.

Recordemos que este gusano se ha caracterizado por su capacidad de infectar millones de computadores en pocos días (incluyendo a la marina francesa), siendo que Microsoft hace meses que publicó el respectivo parche para resolver la vulnerabilidad.

Fuera de ofrecer esta recompensa, la compañía se encuentra trabajando en conjunto con la ICANN, especialistas y empresas de seguridad con el objeto de deshabilitar los dominios utilizados por el gusano, con el objeto de que no se siga propagando.

Link: MS puts up $250K bounty for Conficker author (The Register)