3 de julio de 2013

Microsoft invertirá en descubrir nuevas vulnerabilidades

Esforzándose siempre por proteger a las computadoras que utilizan su sistema operativo –Windows- de los ataques de los piratas informáticos, Microsoft lanzó una campaña en la cual ofrece recompensas de hasta u$s 150.000 a aquellos genios informáticos o hackers que revelen vulnerabilidades en su sistema, así como la fórmula para combatirlas.

Continuando en su lucha contra los piratas informáticos y sus continuos avances sobre las nuevas tecnologías de seguridad que la compañía de Redmond implementa en sus últimas versiones de Windows e Internet Explorer, Microsoft lanzó una campaña de recompensas.

El pasado 26 de junio la compañía de Redmond puso en marcha tres programas de recompensas:

  • Mitigation Bypass Bounty.
  • BlueHat Bonus for Defense.
  • Internet Explorer 11 Preview Bug Bounty-

Cada programa tiene sus características, objetivos y premios particulares, lo que los tres tienen en común es el estar centrados en los nuevos productos de Microsoft: Windows 8.1 Preview e Internet Explorer 11 Preview.


¿Cómo funcionan los programas?

Perfil buscado por Microsoft: Expertos informáticos desde los 14 años de edad (es importante mencionar que, los menores de edad, necesitaran el permiso de sus padres para ingresar al programa de recompensas).

Monto de las recompensas:

  • En "Mitigation Bypass Bounty", Microsoft podría llegar a pagar hasta u$s 100.000 dólares a quienes brinden nuevas técnicas de explotación contra las protecciones de su última versión de Windows 8.1 Preview.
  • En "BlueHat Bonus for Defense", la empresa ofrece hasta u$s 50.000 dólares a quienes ofrezcan ideas defensivas contra las vulnerabilidades encontradas.
  • En "Internet Explorer 11 Preview Bug Bounty", la compañía de Redmond ofrece recompensas de hasta u$s 11.000 dólares a quienes develen vulnerabilidades críticas que afecten a Internet Explorer 11 Preview. Este último programa solo estará abierto desde el 26 de junio al 26 de julio de 2013.

Son varios los montos ofrecidos por Microsoft, sin embargo se destaca que la empresa está dispuesta a pagar hasta u$s 150.000 a quienes revelen una vulnerabilidad de ejecución de código y brinden el remedio para evitarla (Mitigation Bypass Bounty + BlueHat Bonus for Defense).

¿Cómo se pueden reclamar las recompensas?

Como posiblemente muchos integrantes de la comunidad de piratas informáticos estén interesados en los montos ofrecidos por Microsoft, la empresa dejó bien en claro que para reclamar el dinero se deberá vulnerar la tecnología de seguridad implementada en el sistema operativo Windows o en Internet Explorer y luego detallarle a la empresa cómo fue realizado dicho proceso. A este respecto, el jefe de tecnología de Veracode (empresa de seguridad que ayuda a identificar errores de software), Chris Wysopal, dijo:  "Es bastante generoso, aunque lo que están pidiendo tiene una vara bastante alta".

¿Porqué Microsoft lanzó un programa de recompensas tan tentador?

Seguramente el monto de las recompensas prometidas por la firma tiene que ver con la gran competencia que enfrenta a la hora de conseguir que los piratas informáticos de elite se dediquen a intentar vulnerar el ya conocido sistema operativo Windows, presente muchas de las computadoras personales del mundo.

Con seguridad a la empresa le conviene invertir en que la alerten de sus puntos débiles, a sufrir los ataques de los hackers. Es importante recordar que la mayoría de los ataques de los piratas informáticos conocidos a la fecha fueron hechos en computadoras que usaban Windows como sistema operativo.

Algunos de los ataques más importantes conocidos, que afectaron a productos de la empresa de Redmond fueron:

  • La Red de ciberdelitos Citadel robó más de u$s500 millones a diferentes bancos.
  • El virus Stuxnet  atacó al programa nuclear de Irán (2010).

El sistema de recompensas de Microsoft tiene como objetivo reclutar a los mejores piratas informáticos del mercado, los cuales en general son contratados mediante becas o empleos bien remunerados por militares, agencias de inteligencias y grandes corporaciones.

¿Qué hace la competencia?

  • Google: invirtió en seguridad informática u$s 1,7 millones en los últimos 3 años.
  • Facebook  ha pagado desde u$s 500.000 hasta u$s 1 millón en su programa de recompensas.
  • Adobe aunque no da recompensas, recluta temporalmente piratas informáticos como consultores.