Cómo convertirte en un cazarecompensas de 0-days

¿Has descubierto una vulnerabilidad crítica de tipo 0-day en un producto ampliamente utilizado? ¿Puede ser ese bug "armado" o activamente explotado?

Si ese es tu caso, podrías ganar cientos de euros o quizás más vendiéndola al ZDI (Zero Day Initiative) de TippingPoint, al Programa de Contribuciones de Vulnerabilidades del iDefense o a otro de los más de 20 programas públicos y legales que recompensan a los cazadores de bugs.

Dos años después del lanzamiento de la iniciativa "No more free bugs", varias empresas y proyectos de código abierto están ofreciendo programas destinados a fomentar la investigación de seguridad en sus productos. Además, muchas empresas privadas están ofreciendo públicamente programas de adquisición de vulnerabilidades.

A continuación y gracias a NibbleSecurity podemos ver una interesante lista, por si o animáis. Considerarlo en lugar de pasaros al "lado oscuro" e intentar la venta en el mercado negro ;)


Programas Bug Bounty


Patrocinador

Objetivo

Recompensa
Barracuda Vulnerabilidades en los dispositivos Barracuda, incluyendo Firewall Spam/Virus, Web Filter, WAF, NG firewall $ 500 - $ 3,133.7
CCBill.com Vulnerabilidades de las aplicaciones web de CCBill $ 200 - $ 500
Djbdns Agujeros de seguridad verificables en la última versión de Djbdns $ 1000
Facebook Bugs en la platataforma web de Facebook. No incluye aplicaciones de terceros A partir de $ 500
Google Proyecto Chromium $ 500 - $ 3,133.7
Hex-Rays Fallos de seguridad en la última versión pública de Hex-Rays IDA Hasta $ 3000
Mozilla Bus en sitios web expuestos de Firefox, Thunderbird y Mozilla $ 500 - $ 3000, además de Mozilla T-shirt
Piwik Fallos en el software Piwik Web Analytics $ 200 - $ 500
Qmail Agujeros de seguridad verificables en la última versión de Qmail $ 5000
Tarsnap Errores en Tarsnap, que afecten a versiones pre-lanzamiento o versiones publicadas $ 1 - $ 2000

Programas de adquisición de Vulnerabilidad / Exploit



Patrocinador


Objetivo


Recompensa
BeyondSecurity SecuriTeam Alto y medio impacto en los errores de software muy extendidos $ N / a
COSEINC Vulnerabilidades no publicadas de seguridad para Windows, Linux y Solaris $ N / a
Digital Armamento Vulnerabilidad y/o código de explotación de software de alto valor $ N / a
ExploitHub Exploits Metasploit no de día cero $ 50 ~ $ 1000
iSight Partners Errores en las aplicaciones típicas de ambiente corporativo $ N / a
Netragard 0-day exploits contra el software conocido $ N / a
Secunia Vulnerabilidades desconocidas que afectan a la versión estable más reciente. Todas las clases de vulnerabilidades son elegibles. Desde la gama superior de merchandising a un pase de seguridad de TI para conferencias y alojamiento en un hotel
TippingPoint ZDI La investigación de vulnerabilidades no divulgada, que afecta a software ampliamente utilizado $ N / a más premios y beneficios, dependiendo de la situación del contribuyente
VeriSign iDefence Las vulnerabilidades de seguridad en aplicaciones de gran despliegue $ N / a
White Fir Diseño Errores en el código de WordPress y plugins (con más de 1 millón de descargas y compatible con la más reciente de WordPress) $ 50 - $ 500

1 comentarios :

  1. Mas informacion sobre el tema en la conferencia Ekoparty: http://www.ekoparty.org/archive/2009/Mostrame_la_guita_.pdf

    ResponderEliminar