domingo, junio 24, 2012

No Lusers 138 : Bug Hunting


Paypal ha sido el último en subirse al carro de pagar a los bug hunters por el envío de vulnerabilidades y exploits de sus sistemas, con el objetivo de que estas no vayan al mercado negro. Paypal sería un objetivo muy jugoso en ese mundo. 

Supongo que esta decisión la han tomado viendo los resultados del programa que lanzó Google Chrome de recompensa de bugs, llamado Pwnium, y en la que los exploits premiados han dejado de manifiesto que si hay un camino, alguien con mucho talento puede encontrarlo.

El primero de ellos, el exploit de Sergei Glazunov llegó a hacer uso de 14 bugs para conseguir una explotación consistente que permitiera salirse de la sandbox de Google Chrome y llegar al sistema operativo. El segundo de ellos, Pinkie Pie, hizo uso de 6 bugs.

Visto esto, los grandes software vendors habrán tomado buena nota de lo que la industria de la seguridad ofensiva es capaz de hacer con una buena motivación. Los dos exploits que ha recogido Google Chrome le han permitido descubrir 20 bugs y evitar que cayera en malas manos, algo que agradecen los usuarios, y los fabricates de software.

Saludos Malignos!

Entradas populares