Por un monto de máximo 3,133.70 dólares, Google ofrece a los desarrolladores este tipo de recompensa en efectivo, para quienes mejoren la seguridad del software de código abierto que trabaje dentro de Internet. De hecho, Google ya tiene un programa llamado Vulnerability Reward Program, cubriendo sus programas con sumas que van desde los 100 dólares hasta los 30,000, dependiendo de la gravedad de los bugs de seguridad que sean reportados.
Sin embargo, esto es en alguna medida un gitro de tuerca, como lo explica Michael Zalewski, en el Google Online Security Blog: “Hemos pensado que lanzar simplemente un programa para hallar bugs en los sistemas no es suficiente, aparte de que en muchos casos hay un enorme volumen de reportes falsos o que no representan ningún problema de seguridad. Es pues importante no solamente el reporte de un problema, sino el cómo puede solucionarse.”
Así que además de preguntar por bugs hallados, Google ahora busca “mejorar proactivamente, es decir, ir más allá de sólo el reporte”. El programa se está lanzando de manera gradual y cubre incialmente:
- La infraestructura de los núcleos de los servicios de red: OpenSSH, BIND, ISC DHCP.
- La infraestructura de los parsers de imágenes: libjpeg, libjpeg-turbo, libpgn, giflib.
- El código de Chrome: Chromium y Blink.
- Otras bibliotecas de alto impacto: OpenSSL, zlib.
- Componentes críticos de seguridad comunes en el kérnel de Linux (incluyendo KVM).
Dependiendo de la retroalimentación de las propuestas recibidas, se espera que el programa se extienda a:
- Servidores web ampliamente usados: apache, httpd, lighttpd, nginx
- Los servicios populares de correo, los protocolos SMTP: sendmail, Postfix, Exim
- Mejoras en la seguridad de GCC, biutils y ilvm
- VPNs y Open VPNs, así como redes privadas
Para participar en el esquema deben enviarse los parches directamente a quienes mantienen los diferentes proyectos funcionando. Una vez hecho esto, hay que enviar a security-patches@google.com. Si se juzga el parche como benéfico a la seguridad del proyecto, se puede obtener una recompensa de hasta 3,133.70 dólares. En las bases se dan más detalles del tipo de parches que serán considerados para la recompensa.
Si le parece una incógnita la razón de la cifra máxima que se dará por un parche, viene del término “leet”, que en sus caracteres ASCII dan 1337 que significa en inglés, “progreso formidable en un reto” (particularmente en hacking).
El progsama de Google usa recompensas de 1337 y 3133.7 dólares, pues “eleet” es aún mejor que “leet”.
Referencias: