Targeted Incentive Program: Nuevo programa de recompensas por bugs

A lo largo de los 13 años del programa Zero Day Initiative (ZDI), muchos informes de errores han sido comprados para su publicación. De acuerdo con reportes de especialistas en cursos de protección de datos personales, sólo en la primera mitad de este año, ZDI ha publicado 600 informes, y la cifra sigue creciendo.

Una ventaja de la compra de tantos informes de errores es que se puede orientar a los investigadores hacia áreas de interés específicas para mejorar los protocolos de protección a los usuarios de informática. Por ejemplo, ZDI agregó una categoría de virtualización a su evento Pwn2Own para ver qué tipo de exploits podrían escapar de un sistema operativo invitado, y los resultados fueron fascinantes. Ese es uno de los principales motivos para la última incorporación al programa de recompensa de errores ZDI existente: Targeted Icentive Program, que aporta más de 1.5 millones de dólares en recompensas especiales por objetivos específicos.

ZDI desea aumentar la cantidad de vulnerabilidades de servidor críticas que recibe de la comunidad dedicada a la investigación en seguridad informática. A partir del 1 de agosto, Targeted Incentive Program (TIP) ofrece una recompensa monetaria especial para objetivos específicos, pero solo para la primera entrada exitosa y solo por un cierto período de tiempo. Para comenzar este programa, ZDI comenzó principalmente con productos de código abierto del lado del servidor utilizados por sus clientes y la comunidad informática en general.

Estos son los objetivos iniciales, sus premios y el marco de tiempo para cada categoría:

iniciativadiacero

Esto significa que los investigadores y expertos en cursos de protección de datos personales tienen hasta fines de septiembre para poder obtener 25 mil dólares por un exploit de Drupal o Joomla. Tienen hasta fines de octubre para ganar 35 mil dólares por un exploit de WordPress, y así sucesivamente para cada una de las otras categorías. El primer investigador que proporcione un exploit totalmente funcional y demuestre la ejecución remota de código, gana la cantidad de recompensa completa. Una vez que se reclama el premio, el objetivo se eliminará de la lista y se agregará un nuevo objetivo a la lista de objetivos.

Para que un informe sea recibido se debe demostrar que se trata de exploits que funcionen plenamente, no sólo pruebas de concepto. Las vulnerabilidades deben ser verdaderas vulnerabilidades día cero y deben afectar el código central del objetivo seleccionado. ZDI no aceptará entradas en componentes complementarios. Una entrada exitosa debe aprovechar una vulnerabilidad (o vulnerabilidades) para modificar la ruta de ejecución estándar de un programa o proceso a fin de permitir la ejecución de comandos arbitrarios. Las entradas exitosas deben frustrar las mitigaciones del objetivo diseñadas para garantizar la ejecución segura del código. Los objetivos se ejecutarán en la versión más reciente y actualizada del sistema operativo disponible para el objetivo seleccionado a menos que se indique lo contrario. Cualquier duda que tengan los investigadores en cursos de protección de datos personales, podrá ser resuelta por ZDI vía correo electrónico.

El primer exploit en comprometer con éxito un objetivo recibirá el monto del premio indicado para ese objetivo específico. Informes posteriores recibidos por el programa a través de su proceso estándar también podrían ser comprados por ZDI.

Una vez que son comprometidos los objetivos o llega la fecha de finalización de una categoría, se agregarán objetivos adicionales al programa. Hasta ahora, ZDI tiene más de 1 millón de dólares en recompensas reservadas para objetivos futuros.

Nuevos objetivos pueden y serán agregados a la lista de objetivos en base a la orientación del equipo de ZDI de manera conjunta con los equipos de Trend Micro. Los informes enviados al programa se manejarán a través del estándar de Acuerdo y Divulgación de Investigaciones de Zero Day Initiative. Esto también significa que una vez notificados, los proveedores tendrán el estándar de 120 días para lanzar un parche de seguridad al público.

Si usted, como investigador o experto en cursos de protección de datos personales, se encuentra interesado en participar pero aún tiene preguntas relacionadas con el programa, puede enviar un correo a ZDI. Las preguntas hechas a través de Twitter, publicaciones de blogs u otros medios no serán reconocidas ni contestadas.