Google Chrome, Zero Day Initiative, iDefense e venda de falhas de segurança

Olá Pessoal,

Uns dias atrás foi lançado uma iniciativa pela Google de começar a remunerar pessoas que acham falhas significativas de segurança nos projetos Chrome e Chromium. Isso ganhou bastante atenção na mídia e eu pensei em aproveitar pra compartilhar algumas experiências nesse ramo.

Zero Day Initiative e iDefense são programas mais genéricas de empresas de segurança (3com Tipping Point e VeriSign respectivamente), e os três programas tratam de melhorar a segurança através de promover o tal de "responsible disclosure" - a divulgação de problemas de segurança de uma forma responsável.

Ou seja, é menos sobre você se dedicar a encontrar falhas de segurança e mais sobre agir de uma forma que protege todo mundo na hora encontrar elas.

Eu participei do programa ZDI no ano passado e tem sido bastante interessante. Como funciona?

-Eu encontro um problema de segurança grave num produto muito utilizado.
-Monto uma descrição do problema e um cenário de teste para facilitar a verificação.
-Eles analisam cuidadosamente a submissão e verificam que se trata de um problema real, grave e ainda-não-descuberto.
-Eles fazem uma oferta para comprar os direitos a essa falha.
-Caso eu aceito a oferta, eles passam ser donos daquela falha
-Eles comunicam a falha para a empresa/entidade responsável e coordenam a correção
-Eles ficam como o responsável por ter descoberta a falha (porém colocam meu nome junto como colaborador)
-Eles utilizam a informação para melhorar o produto IDS deles
-Eles ganham publicidade
-Eu concordo não divulgar nada sobre a falha

Eu queria compartilhar isso porque acho que muitas pessoas não estão cientes de programas como esses. Para uma pessoa que não trabalha com segurança de informação talvez seja difícil avaliar quão grave um determinado problema é. Mas mesmo assim, muitas vezes acabamos encontrando falhas realmente graves sem querer no nosso dia-a-dia de trabalho. E acho que é bom saber que em vez de compartilhar a falha no twitter/blog/forum e potencialmente causando problemas para muitas pessoas, ajudando os criminosos a disponibilizarem mais trojans para roubar senha de banco, em vez disso existem outras formas, possivelmente (muito bem) remuneradas de prosseguir.

Abraços,
Sami

Poxa que interessante.

Não conhecia isso.

É um ramo de negócios bem novo. A remuneração é boa mesmo por essas falhas?

só uma pergunta... como ficaria o else desse if aqui? "-Caso eu aceito a oferta..." quer dizer que se você não aceita eles não podem concertar o erro?

Leozin wrote:A remuneração é boa mesmo por essas falhas?

Então, esse programa do google está pagando 500 dólares, ou 1337 dólares para falhas muito interessantes.

A ZDI, não sei se estou na liberdade de divulgar os valores, mas são mais altos. Pelas apresentação do Pedram Amini, que trabalha no projeto ZDI, os valores vão de 1,000 dólares até 20,000 dólares. Isso parece consistente com minha experiência.

[]s,
Sami

jingle wrote:só uma pergunta... como ficaria o else desse if aqui? "-Caso eu aceito a oferta..." quer dizer que se você não aceita eles não podem concertar o erro?

Correto. Se você não aceita, eles não tem o direito de comunicar o problema ao fabricante, etc. Agora, porque é que você rejeitaria? Talvez, pelo valor ser muito baixo, você prefere você mesmo entrar em contato com a empresa responsável, tentar pressionar elas a corrigirem a falha. Talvez você queira tentar vender a falha para outro programa/empresa. Talvez você até queira negociar com o mercado negro. Talvez você queira tentar vender pro governo chines.

Hmm.. vender para o mercado negro... devem pagar melhor.

Sim, o mercado negro paga muito melhor. Uma citação interessante do Charlie Miller:

http://www.nytimes.com/aponline/2010/01/29/business/AP-US-TEC-China-Google-Security-Hole.html wrote:One researcher who has been open about his experience is Charlie Miller, a former National Security Agency analyst who now works in the private sector with Independent Security Evaluators. Miller netted $50,000 from an unspecified U.S. government contractor for a bug he found in a version of the Linux operating system.

Whether to pay -- and seek payment -- is hotly debated among researchers.

''I basically had to make a choice between doing something that would protect everybody and remodeling my kitchen -- as terrible as that is, I made that choice, and it's hard,'' Miller said. ''It's a lot of money for someone to turn down.''

Pessoalmente, eu vejo o mercado negro como inviavel. Além de motivos éticos, você não teria muita garantia do pagamento, etc. Pessoalmente eu já sinto mal quando vejo pessoas sendo afetadas pelos virus (link p/ AV da Microsoft) que aproveitam a falha que eu comuniquei para a Sun em 2008 e que já foi corrigido no mesmo ano.

Sami Koivu wrote:

jingle wrote:só uma pergunta... como ficaria o else desse if aqui? "-Caso eu aceito a oferta..." quer dizer que se você não aceita eles não podem concertar o erro?

Correto. Se você não aceita, eles não tem o direito de comunicar o problema ao fabricante, etc. Agora, porque é que você rejeitaria? Talvez, pelo valor ser muito baixo, você prefere você mesmo entrar em contato com a empresa responsável, tentar pressionar elas a corrigirem a falha. Talvez você queira tentar vender a falha para outro programa/empresa. Talvez você até queira negociar com o mercado negro. Talvez você queira tentar vender pro governo chines.

huahauhauhuhauha

e qual a diferença entre o mercado negro e o governo chines???

O mercado negro vai utilizar para roubar pessoas (que é ruim). O governo chines vai utilizar para calar as ativistas de direitos humanos (que talvez seja pior ainda).

Notícias, artigos e o maior fórum brasileiro sobre Java