• Tweet

Firma de seguridad está ofreciendo 8 mil dólares a quien reporte una falla de seguridad en Vista e IE7.

Una firma de seguridad estadounidense está ofreciendo arriba de 72 mil dólares en gratificación para las personas que detecte exploits para Windows Vista e Internet Explorer 7.

IDefense ha lanzado su denominado Quarterly Vulnerability Challenge, en el cual esta ofreciendo a los investigadores arriba de 8 mil dólares por reportar una vulnerabilidad que permita la ejecución remota de código.

Un premio adicional de 2 mil a 4 mil dólares si el investigador puede entregar un exploit funcionando.

IDefense ha publicado reglas estrictas. No más de seis vulnerabilidades serán aceptadas, todas deberán ser presentadas en la más reciente versión del software de Windows. Ningún exploit debe contener algún tipo de código malicioso.

Las fallas que permiten la ejecución remota de código están entre las más serias amenazas para los usuarios. Tales fallas ganan el nivel de más alta categoría dentro de los sitios de monitoreo de seguridad y son a menudo referidas como vulnerabilidades críticas.

Microsoft dijo que, aunque la compañía tiene la política de no pagar por el revelado de información acerca de vulnerabilidades, no expresa su rechazo al programa de IDefense.

“Microsoft no se opone a los programas que trabajen en los procesos para revelar información, y no ponga a nuestros clientes en riesgo,” comentó un vocero de la compañía.

“Microsoft no quiere especular acerca de los motivos de terceras partes, pero esta obligado a trabajar con estos en los problemas que atraigan nuestra atención.”

Eric Sites, vicepresidente de investigación y desarrollo en Sunbelt Software, dijo que se pueden ver sentimientos encontrados en la contestación.

Mientras el programa de gratificación de IDefense premia a usuarios que desarrollen ataques, Sites previno que el revelado de información de vulnerabilidades permitirá que de otra manera sean descubiertas por autores de códigos maliciosos y sean lanzadas sin prevenir.

Apuntó que el pagar a los usuarios por los derechos del código le da a una compañía ventaja sobre la competencia dejando a sus usuarios protegidos, pero deja a los usuarios de otros programas de seguridad vulnerables al ataque.

Lo que Idefense esta haciendo no es nada nuevo, de acuerdo a Sites, quien apuntó hacia el prospero mercado clandestino de los nuevos exploits para que desarrolladores ataque programas.

Las vulnerabilidades que permite la ejecución remota de código están entre las más buscadas debido a que estas les permiten a los intrusos control ilimitado en los sistemas.

Dave Marcus, investigador se seguridad en McAfee, explico la petición de código remoto para vulnerabilidades en una entrevista el mes pasado después de publicar un reporte del creciente aumento de vulnerabilidades críticas.

“Las fallas de seguridad críticas son una mina de oro” comento Marcus. “Estas son deseadas por escritores de código malicioso y operadores de botnets debido a que estas les dejan inyectar código en los sistemas.”

Microsoft corrigió 130 fallas críticas en 2006, más del doble del años anterior.