Tre rivali Internet stanno collaborando per offrire premi o ricompense in denaro, ai ricercatori che trovano vulnerabilità critiche nella tecnologia Web ampiamente utilizzata. Il programma è sponsorizzato da Facebook e Microsoft, con l'assistenza di un esperto di sicurezza di Google, che ha contribuito a sviluppare il programma e siederà sul pannello che valuterà le osservazioni. Gli hacker potranno rimanere anonimi.
Il social network e il gruppo informatico hanno creato un apposito fondo. Le taglie di questo programma vanno da 300 a 5.000 dollari a seconda della natura del problema trovato. I premi possono andare più in alto, a discrezione di un comitato di revisione. "È pensato per bug molto gravi che avrebbero conseguenze disastrose per Internet se dovessero finire nelle mani sbagliate", ha detto a Reuters Alex Rice, Facebook Product Security.
Le iscrizioni all'Internet Bug Bounty (IBB) saranno valutate da una giuria di esperti provenienti da Facebook, Microsoft, Google, la società di consulenza di sicurezza iSEC Partners e Etsy, un mercato artigianale online. I tre rivali offrono programmi pagano esperti di sicurezza informatica al fine di scovare vulnerabilità nei loro software. Mentre il trio compete online in una varietà di settori, quando si tratta di sicurezza cooperano tra loro.
"Anche se siamo feroci concorrenti... i team di sicurezza non devono essere concorrenti", ha detto Rice. L'idea del nuovo programma di taglie è venuta un giorno in cui Rice stava bevendo con Katie Moussouris, che esegue MSRC di Microsoft e Chris Evans, che lavora nel team di sicurezza del browser Chrome di Google. I bug bounty hanno attratto attenzione dopo che un ricercatore ha pubblicato senza permesso un post sul profilo di Mark Zuckerberg.
Il programma IBB per trovare bug in Open SSL, Python, Rubino, PHP, Rails, Perl e Internet, tra gli altri, è in parte ospitato da HackerOne. Microsoft ha ampliato separatamente il proprio programma di taglie, che offre fino a 100.000 dollari agli esperti che scoprono nuovi modi per andare oltre le funzionalità di protezione avanzate nel suo programma Windows. Seguire le linee guida generali di IBB per la divulgazione pubblica delle vulnerabilità.
Via: Reuters
Nessun commento:
Posta un commento