Doveva riguardare solo le falle di Chrome. Ora, invece, Google ha deciso di espandere la propria campagna di recruitment di cacciatori di taglie digitali . Per questo motivo, BigG ha incluso nuovi siti ( YouTube , Blogger , Orkut e Google.com ) all’interno del programma di ricerca falle, lasciando fuori, per il momento, Android , Picasa e GDesktop . Le cifre che Mountain View si prepara a sborsare variano da un minimo di 500 fino a oltre 3mila dollari per i bug più pericolosi e rari.
L’ annuncio e l’obiettivo del nuovo programma di ricompense per i cercatori di vulnerabilità arriva dal Google Security Team , attraverso il blog ufficiale: “Abbiamo già avuto il piacere di collaborare con un gruppo di ricercatori per la sicurezza di Google (…). Oltre a ringraziare attraverso nuove vie i collaboratori regolari, ci auguriamo che il nostro programma possa attrarre nuovi ricercatori e report in grado di aiutarci nel compito di rendere più sicuri i nostri utenti”. BigG, inoltre, si premura di fornire indicazioni dettagliate a chiunque voglia collaborare : come fare per dimostrare l’esistenza della vulnerabilità, come segnalarla, indicazioni sui premi, chi determina se un bug è effettivamente tale, specifiche sulle questioni legali.
L’iniziativa arriva dopo la buona riuscita del test su Chrome , che ha portato al patching di ben undici vulnerabilità, per le quali Mountain View è arrivata a sborsare più di 10mila dollari a Sergey Glazunov, Mike Taylor, “kuzzcc” e Wushi del Team509 , tutti annoverati nella Hall of Fame dei cacciataori di bachi.
Il punto più controverso del nuovo programma riguarda, per l’appunto, la tipologia di errori considerati “da premiare”. Google inserisce in ques’ultima categoria XSS, XSRF/CSRF, XSSI, il bypassing dei controlli di autorizzazione, l’injecting e l’esecuzione di codice sul server. Non saranno premiate vulnerabilità riguardanti l’infrastruttura corporate, denial of service, i client, i siti Web afferenti a Google e gestiti da terze parti o bug nelle tecnlogie acquisite di recente da Mountain View.
Muovendosi in tale direzione, il gigante dell’informatica mostra di aver compreso l’efficacia di affidare anche a “personale esterno” la ricerca delle falle, una politica praticata già da tempo da Mozilla , che, di recente, ha aumentato la taglia sui bug, arrivando a elargire 3mila dollari a un ragazzino di dodici anni abile nel rintracciare un problemino riguardante Firefox.
Se Mozilla ha scelto di applicare il collaudato Security Bug Bounty Program a tutta la sua schiera di prodotti, Google ha deciso di tenere fuori dal suo programma sicurezza Android , nonostante un recentissimo studio abbia dimostrato la presenza di circa ottantotto difetti ad “alto rischio” all’interno della sua struttura.
Cristina Sciannamblo
Ti potrebbe interessare
3 nov 2010