¿Has descubierto una vulnerabilidad crítica de tipo 0-day en un producto ampliamente utilizado? ¿Puede ser ese bug "armado" o activamente explotado?Si ese es tu caso, podrías ganar cientos de euros o quizás más vendiéndola al ZDI (Zero Day Initiative) de TippingPoint, al Programa de Contribuciones de Vulnerabilidades del iDefense o a otro de los más de 20 programas públicos y legales que recompensan a los cazadores de bugs.
Dos años después del lanzamiento de la iniciativa "No more free bugs", varias empresas y proyectos de código abierto están ofreciendo programas destinados a fomentar la investigación de seguridad en sus productos. Además, muchas empresas privadas están ofreciendo públicamente programas de adquisición de vulnerabilidades.
A continuación y gracias a NibbleSecurity podemos ver una interesante lista, por si o animáis. Considerarlo en lugar de pasaros al "lado oscuro" e intentar la venta en el mercado negro ;)
Programas Bug Bounty
Patrocinador | Objetivo | Recompensa |
| Barracuda | Vulnerabilidades en los dispositivos Barracuda, incluyendo Firewall Spam/Virus, Web Filter, WAF, NG firewall | $ 500 - $ 3,133.7 |
| CCBill.com | Vulnerabilidades de las aplicaciones web de CCBill | $ 200 - $ 500 |
| Djbdns | Agujeros de seguridad verificables en la última versión de Djbdns | $ 1000 |
| Bugs en la platataforma web de Facebook. No incluye aplicaciones de terceros | A partir de $ 500 | |
| Proyecto Chromium | $ 500 - $ 3,133.7 | |
| Hex-Rays | Fallos de seguridad en la última versión pública de Hex-Rays IDA | Hasta $ 3000 |
| Mozilla | Bus en sitios web expuestos de Firefox, Thunderbird y Mozilla | $ 500 - $ 3000, además de Mozilla T-shirt |
| Piwik | Fallos en el software Piwik Web Analytics | $ 200 - $ 500 |
| Qmail | Agujeros de seguridad verificables en la última versión de Qmail | $ 5000 |
| Tarsnap | Errores en Tarsnap, que afecten a versiones pre-lanzamiento o versiones publicadas | $ 1 - $ 2000 |
Programas de adquisición de Vulnerabilidad / Exploit
Patrocinador
|
Objetivo
|
Recompensa
|
| BeyondSecurity SecuriTeam | Alto y medio impacto en los errores de software muy extendidos | $ N / a |
| COSEINC | Vulnerabilidades no publicadas de seguridad para Windows, Linux y Solaris | $ N / a |
| Digital Armamento | Vulnerabilidad y/o código de explotación de software de alto valor | $ N / a |
| ExploitHub | Exploits Metasploit no de día cero | $ 50 ~ $ 1000 |
| iSight Partners | Errores en las aplicaciones típicas de ambiente corporativo | $ N / a |
| Netragard | 0-day exploits contra el software conocido | $ N / a |
| Secunia | Vulnerabilidades desconocidas que afectan a la versión estable más reciente. Todas las clases de vulnerabilidades son elegibles. | Desde la gama superior de merchandising a un pase de seguridad de TI para conferencias y alojamiento en un hotel |
| TippingPoint ZDI | La investigación de vulnerabilidades no divulgada, que afecta a software ampliamente utilizado | $ N / a más premios y beneficios, dependiendo de la situación del contribuyente |
| VeriSign iDefence | Las vulnerabilidades de seguridad en aplicaciones de gran despliegue | $ N / a |
| White Fir Diseño | Errores en el código de WordPress y plugins (con más de 1 millón de descargas y compatible con la más reciente de WordPress) | $ 50 - $ 500 |
Mas informacion sobre el tema en la conferencia Ekoparty: http://www.ekoparty.org/archive/2009/Mostrame_la_guita_.pdf
ResponderEliminar