20 mar 2010

Zero Day recompensa a los investigadores de seguridad informática

Zero Day Initiative, es un programa que investiga las vulnerabilidades de los sistemas informáticos, ya sean Sistemas operativos, dispositivos como laptops, smarthphone, navegadores y software en general.  Este es un programa fundado por TippingPoint, para recompensar a los investigadores de seguridad por divulgar vulnerabilidades responsablemente.

Zero Day que inicia sus actividades en el 2005 tiene como objetivos: Aprovechar metodologías y experiencias de los expertos, alentar a informes responsables y romper con la mala reputación de los Hackers, y proteger los sistemas de información contra intrusiones.

¿Como funciona?

La idea es proporcionar información exclusiva a cerca de vulnerabilidades nuevas o no corregidas, luego se valida la información para supervisar aspectos económicos y éticos. El pago a los colaboradores depende del tipo de vulnerabilidad y puede ir creciendo si lo descubierto es mas crítico de lo esperado. Aquí les dejo el proceso detallado:
  1. Un investigador descubre una vulnerabilidad.
  2. El investigador inicia sesión en el portal seguro de ZDI y envía la vulnerabilidad para su verificación y valuación.
  3. Se genera una ID del caso, que permite al investigador identificar la vulnerabilidad de forma exclusiva y rastrearla a lo largo del portal seguro de ZDI.
  4. TippingPoint verifica la vulnerabilidad y decide si desea hacer una oferta.
  5. TippingPoint hace una oferta para la vulnerabilidad. La oferta se envía al investigador por correo electrónico.
  6. El investigador acepta la oferta, asignando exclusividad de la información a TippingPoint.
  7. Se le paga al investigador mediante un cheque, una transferencia electrónica o Western Union. TippingPoint notifica al proveedor del producto afectado y los filtros de protección de IPS se distribuyen a los clientes de TippingPoint.
  8. Después TippingPoint comparte el aviso anticipado de los detalles de la vulnerabilidad a los otros proveedores de seguridad antes de la divulgación pública.
  9. TippingPoint y el proveedor del producto afectado coordinan la divulgación pública mediante una recomendación de seguridad una vez que la corrección está lista. Se le otorga al investigador todo el crédito por el descubrimiento de la vulnerabilidad o éste puede elegir permanecer anónimo ante el público.
Muy interesante esta propuesta, la persona experta en seguridad que nos informó sobre esta forma de monetizar las habilidades de los hackers, nos indicó que es el sistema que mejor paga y mas serio. Además que tu trabajo será conocido y nadie se llevará tus créditos.
Si estas interesado accede a Zero Day Initiative, también encontraras preguntas frecuentes para despejar las dudas.

Fuente: Mente Principiante

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!