08 octubre 2011

Chromium/Chrome su programa de recompensas y el Pwn2own

A principios del año pasado el equipo de  de Chromium creo un programa de recompensas para todos aquellos que repotarsen un fallo de seguridad  en el producto, que partía de los $500 hasta los $31337,7 por los más críticos.

Un año después pueden presentar los magníficos resultados que ha tenido el programa. Que resumo según mis cálculos y basándome en la lista publicada: actualmente van por 215 bugs identificados. Un total de 201.954 dólares repartidos en "premios", es decir, una media de $939 por fallo. Realmente poco dinero si pensamos el esfuerzo que le hubiera costado a Google encontrar por si mismo estos fallos y todos aquellos que les han reportado y no suponen un riesgo de seguridad o no son suficientemente críticos.

Si hacemos zoom sobre los datos, se puede observar que Sergey Glazunov lleva embolsados más de 53.000$ en 41 fallos en este periodo, seguido por "miaubiz" que llega a los 31.000$.



Esta filosofía y preocupación por la seguridad es posiblemente el motivo por el que Chrome no es explotado en el concurso Pwn2Own, donde a los participantes podían ganar hasta 20.000$ "tan solo" por una vulnerabilidad que se escapase de la sanbox.


En ocasiones algunos investigadores esperan al concurso para ganar más dinero con un fallo crítico, pero se arriesgan a que otra persona lo reporte y pierdan el trabajo.

Por otra parte, Google parchea todas las vulnerabilidades que conocen pocos días antes de que se celebre el encuentro con el objetivo de "salir guapo en la foto", aunque esta es una técnica que también usa Safari sin el mismo éxito.







4 comments :

Anónimo dijo...

Lo cierto es que es lo mejor para todos, sobretodo para Google, que se ahorran unas cuantas nóminas, aunque a Sergey Glazunov mejor les sería contratarlo.

José A. Vázquez dijo...

No estoy de acuerdo con lo último que comentas, es cierto que ambos intentan lavarse la cara, pero la verdad es que chrome parchea sus bugs en un mes como máximo, a no ser que haya algún acontecimiento especial que retrase el asunto. Sin embargo, Safari no parchea hasta meses después. Es más, dentro del mismo programa de chrome, son conscientes de esto y no te dejan divulgar nada, hasta meses después (es por esto también que la mayoría de vulns permanecen restringidas). Todo esto partiendo de la base de que la mayoría de las vulns afectan a ambos, puesto que, en un 90% son bugs en Webkit.

Por otra parte, hay que tener en cuenta que para saltar chrome, es necesario un mínimo de 2 vulns (siendo una de bypass del sandbox), sin embargo, con Safari no, al menos este año pasado, ya veremos ahora con webkit2 en Safari 5.1 :)

Y finalmente, hay que considerar que todo esto se tiene en cuenta desde Pwn20wn, con lo cual, y no sé si lo sabrás, pero se suelen congelar los sistemas con bastante antelación, para evitar precisamente esto.

Mi opinión final es que sinceramente, Apple sale beneficiado de un programa donde es Google el que afloja la pasta xD

Saludos.

Alejandro Ramos dijo...

En cuanto a si parchean o no, esta es la fuente http://www.computerworld.com/s/article/9213018/Apple_to_patch_Safari_before_Pwn2Own_say_researchers 

Con 'bastante' antelación, es una semana antes, no mucho más.
Safari siempre sale con los pies por delante el primero y eso no lo considero salir ganando, ya que 20.000$ para Apple apenas es dinero para la mala prensa que le genera.

Un saludo y gracias por tu comentario!

José A. Vázquez dijo...

Es cierto, no con tanta antelación :)

Sin embargo, lo que quería decir con el tiempo es que cuando se produce ese update previo a pwn20wn, Chrome probablemente sí esté fijando nuevas vulns en webkit, mientras que Safari estará todavía con un cumulativo de vulns reportadas a través de este programa+ zdi +  idefense + free + etc. Lógicamente también habrá vulns que afecten sólo a uno u otro, pero yo me refiero a las que afectan a ambos. Y también llegan a chromium a través de zdi, idefense, etc.

En cuanto a las cantidades económicas, también estoy de acuerdo en que es ridículo para este tipo de empresas y que es una prensa pésima, pero yo iba más porque Safari ni siquiera lo ofrezca o contribuya y encima salga "beneficiado" del programa :)

Saludos!