Cristina Sciannamblo

Google, cacciatori di bachi cercasi

Mountain View lancia il proprio programma di ricompense rivolto ai cercatori di bug. Fornite tutte le indicazioni per riuscire ad aggiudicarsi la taglia. Lasciato fuori Android, per il momento

Roma - Doveva riguardare solo le falle di Chrome. Ora, invece, Google ha deciso di espandere la propria campagna di recruitment di cacciatori di taglie digitali. Per questo motivo, BigG ha incluso nuovi siti (YouTube, Blogger, Orkut e Google.com) all'interno del programma di ricerca falle, lasciando fuori, per il momento, Android, Picasa e GDesktop. Le cifre che Mountain View si prepara a sborsare variano da un minimo di 500 fino a oltre 3mila dollari per i bug più pericolosi e rari.

L'annuncio e l'obiettivo del nuovo programma di ricompense per i cercatori di vulnerabilità arriva dal Google Security Team, attraverso il blog ufficiale: "Abbiamo già avuto il piacere di collaborare con un gruppo di ricercatori per la sicurezza di Google (...). Oltre a ringraziare attraverso nuove vie i collaboratori regolari, ci auguriamo che il nostro programma possa attrarre nuovi ricercatori e report in grado di aiutarci nel compito di rendere più sicuri i nostri utenti". BigG, inoltre, si premura di fornire indicazioni dettagliate a chiunque voglia collaborare: come fare per dimostrare l'esistenza della vulnerabilità, come segnalarla, indicazioni sui premi, chi determina se un bug è effettivamente tale, specifiche sulle questioni legali.

L'iniziativa arriva dopo la buona riuscita del test su Chrome, che ha portato al patching di ben undici vulnerabilità, per le quali Mountain View è arrivata a sborsare più di 10mila dollari a Sergey Glazunov, Mike Taylor, "kuzzcc" e Wushi del Team509, tutti annoverati nella Hall of Fame dei cacciataori di bachi.
Il punto più controverso del nuovo programma riguarda, per l'appunto, la tipologia di errori considerati "da premiare". Google inserisce in ques'ultima categoria XSS, XSRF/CSRF, XSSI, il bypassing dei controlli di autorizzazione, l'injecting e l'esecuzione di codice sul server. Non saranno premiate vulnerabilità riguardanti l'infrastruttura corporate, denial of service, i client, i siti Web afferenti a Google e gestiti da terze parti o bug nelle tecnlogie acquisite di recente da Mountain View.

Muovendosi in tale direzione, il gigante dell'informatica mostra di aver compreso l'efficacia di affidare anche a "personale esterno" la ricerca delle falle, una politica praticata già da tempo da Mozilla, che, di recente, ha aumentato la taglia sui bug, arrivando a elargire 3mila dollari a un ragazzino di dodici anni abile nel rintracciare un problemino riguardante Firefox.

Se Mozilla ha scelto di applicare il collaudato Security Bug Bounty Program a tutta la sua schiera di prodotti, Google ha deciso di tenere fuori dal suo programma sicurezza Android, nonostante un recentissimo studio abbia dimostrato la presenza di circa ottantotto difetti ad "alto rischio" all'interno della sua struttura.

Cristina Sciannamblo
Notizie collegate
  • TecnologiaGoogle e il bottino delle patchMountain View distribuisce una nuova versione stabile di Chrome e paga chi ha contribuito ai fix integrati nella release. Ma pone una barriera pecuniaria per l'ingresso nella galleria delle estensioni. Mozilla invece ha pronta la 4a beta di Firefox 4
  • AttualitàMozilla, preadolescente anti-bugUn dodicenne si aggiudica la taglia da tremila dollari sulle vulnerabilitÓ
  • AttualitàMozilla aumenta la taglia sui bugI bug hunter verranno meglio ricompensati. Da 500 si passerÓ a 3mila dollari. Un modo per garantire migliori condizioni a chi tutela la sicurezza degli utenti. Inclusi quelli di Firefox Mobile
13 Commenti alla Notizia Google, cacciatori di bachi cercasi
Ordina
  • non perde mai occasione di utilizzare il fanatismo dei sorci open per evitare di assumere personale per il loro software.

    Sempre un passo avanti nello scricco e nel prendere per il culo la gente, direi.

    Il bello è che tanti ci cascano e regalano codice a questi mentecatti che non hanno neanche un recapito, niente di niente.

    Mi domando e dico fino a quando durerà questa situazione.
    Certamente fino a quando nessuno farà una class action contro sto google del cavolo e fin tanto tutti i babbei del pianeta continueranno a regalare codice e a scaricare i loro programmi, in cambio di tutti i dati personali e lo storico della loro navigazione.

    Bravi bravi davvero Arrabbiato
    non+autenticato
  • - Scritto da: Nome e cognome
    > non perde mai occasione di utilizzare il
    > fanatismo dei sorci open per evitare di assumere
    > personale per il loro
    > software.
    >
    > Sempre un passo avanti nello scricco e nel
    > prendere per il culo la gente,
    > direi.
    >
    > Il bello è che tanti ci cascano e regalano codice
    > a questi mentecatti che non hanno neanche un
    > recapito, niente di
    > niente.
    >
    > Mi domando e dico fino a quando durerà questa
    > situazione.
    > Certamente fino a quando nessuno farà una class
    > action contro sto google del cavolo e fin tanto
    > tutti i babbei del pianeta continueranno a
    > regalare codice e a scaricare i loro programmi,
    > in cambio di tutti i dati personali e lo storico
    > della loro
    > navigazione.
    >
    > Bravi bravi davvero Arrabbiato

    Quoto al 100%, sti pagliacci di Google hanno stufato.
    Microsoft sì che è un'azienda seria che ha davvero a cuore la sicurezza degli utenti, ed i risultati sono sotto gli occhi di tutti!

    Parola di Winaro! Occhiolino
    non+autenticato
  • - Scritto da: Winaro

    > Parola di Winaro! Occhiolino

    Bhe, definirsi winaro, linaro eccetera, significa appartenere a qualcosa.
    Dal momento che stiamo parlando di oggetti, di beni di consumo, io non mi definisco con nessuna di queste etichette. Ma se ti piacciono tanto potresti aggiungere googlaro, o googlista, al tuo vocabolario del consumatore assuefatto.

    Io prendo e uso quel che mi pare e piace. Se una cosa mi è piu utile di un'altra, uso quella, senza buttare il resto.

    Nella cassetta degli attrezzi non c'è un solo attrezzo. Lo dice la parola stessa: "cassetta degli attrezzI". E' cosi che si deve pensare.

    Se poi anche tu sei un fanatico, mi dispiace per te.

    Anzi, forse è la mia fortuna e non mi dispiace poi cosi tanto.
    Sai, essere di ampie vedute ha i suoi vantaggi... ma sono tanti, piu di quelli che tu puo immaginare!

    Saluti.
    non+autenticato
  • Quoto al 100% quello che hai detto, in particolare ribadisco questo fatto:
    Microsoft sì che è un'azienda seria che ha davvero a cuore la sicurezza degli utenti, ed i risultati sono sotto gli occhi di tutti!

    Immagino che tu mi possa dare ulteriore appoggio su quanto ho affermato, sottoscrivendo le mie parole o motivando con degli esempi concreti le tue dichiarazioni.

    C'è gente che pensa che Google o Mozilla facciano del lavoro di testing prima di rilasciare delle applicazioni o fornire dei servizi e che questa iniziativa sia solo una cosa aggiuntiva rispetto ad un ottimo lavoro di base.

    Io e te invece sappiamo bene che non è così, sono solo degli scrocconi, le loro applicazioni sono fatte coi piedi e lasciate alle attenzioni degli opensorci.
    Le aziende serie sono ben altre, e come dicevo il risultato è sotto gli occhi di tutti. Noi abbiamo capito tutto! Eh eh!

    E intanto ce la godiamo!

    Parola di Winaro! Occhiolino
    non+autenticato
  • sempre meglio google di ms o apple
    -----------------------------------------------------------
    Modificato dall' autore il 04 novembre 2010 02.02
    -----------------------------------------------------------
  • - Scritto da: lordream
    > sempre meglio google di ms o apple


    Non mi risulta affatto.
    Microsoft è la più grande azienda di informatica del mondo.

    Ed Apple è una nostra controllata: Steve è nel libro paga di Steve.
    Capito? Arrabbiato

    Parola di Winaro! Occhiolino
    non+autenticato
  • Ma... se... paga!?!??!??
    non+autenticato
  • - Scritto da: Nome e cognome
    > non perde mai occasione di utilizzare il
    > fanatismo dei sorci open per evitare di assumere
    > personale per il loro
    > software.
    >
    > Sempre un passo avanti nello scricco e nel
    > prendere per il culo la gente,
    > direi.
    >
    > Il bello è che tanti ci cascano e regalano codice
    > a questi mentecatti che non hanno neanche un
    > recapito, niente di
    > niente.
    >
    > Mi domando e dico fino a quando durerà questa
    > situazione.
    > Certamente fino a quando nessuno farà una class
    > action contro sto google del cavolo e fin tanto
    > tutti i babbei del pianeta continueranno a
    > regalare codice e a scaricare i loro programmi,
    > in cambio di tutti i dati personali e lo storico
    > della loro
    > navigazione.
    >
    > Bravi bravi davvero Arrabbiato

    Piantala di rosicare che se vai avanti in questo modo ti scoppia il fegato. Rotola dal ridere
    non+autenticato
  • - Scritto da: Nome e cognome

    > Bravi bravi davvero Arrabbiato

    3000 euro fanno sempre comodo, ma 3000 euro per un bug grave sono decisamente pochi. Nel mercato nero si possono vendere a molto di più Sorride
    non+autenticato
  • ... domani lo annuncerà anche Microsoft!!!!Sorride
    non+autenticato
  • Vuoi far fallire microsoft ?Sorride
    non+autenticato
  • - Scritto da: Durn
    > Vuoi far fallire microsoft ?Sorride

    Perché? Arrabbiato

    Parola di Winaro! Occhiolino
    non+autenticato