googUm novo programa de recompensa visa construir mecanismos de segurança mais profundos em software open-source. Talvez esse programa impedirá  especialistas em segurança de contratar os crackers ou a NSA (National Security Agency) em seu lugar.

O mercado para encontrar falhas de segurança está crescendo cada vez mais, incentivado pelos desejos das empresas para melhorar a segurança e por motivos menos salutares.

Em uma tentativa de melhorar a segurança para softwares, o Google anunciou quarta-feira, que está oferecendo de $ 500 a $ 3,133.70 para programadores por mudanças que tornam os software open-source menos vulnerável a ataques.

Com o Chrome reward program ( Programa de recompensa chrome) e o vulnerability reward program  (programa de recompensa de vulnerabilidade) , o Google já oferece dois mecanismos para pagar as pessoas para encontrar fraquezas específicas em seu navegador e os seus serviços online. O novo Programa de recompensas de correção vai um passo além, tentando incentivar as pessoas a melhorarem o software em um nível mais profundo.

“Muitas falhas de vulnerabilidades levam a evitáveis ​​erros de codificação, ou são mais fáceis de explorar, devido à ausência de técnicas de mitigação simples. Nós estamos esperando resolver isso de alguma maneira”, disse o Google em um FAQ sobre o programa.

Recompensas para quem encontra “Bugs” se tornaram mais populares em grandes empresas de computação que procuram manter seus serviços e softwares seguros – e para competir contra outras organizações que pagariam por isso. Essas organizações incluem não apenas os criminosos com a intenção de invadir sistemas, mas também a NSA. Para 2013, a NSA alocou 25100 mil dólares para “compras adicionais secretas de vulnerabilidades de software”, o Washington Post informou, com base em informações vazadas da NSA pelo contratante Edward Snowden.

Em agosto, o Google quintuplicou alguns pagamentos de prémios de bugs, que até agora totalizam mais de US $ 2 milhões. E dias atrás, a Microsoft acabou de pagar um pesquisador de segurança James Forshaw 100.000 dólares para encontrar um sério problema de segurança.

Para o seu novo programa de recompensas de correção, o Google decidiu não expandir suas recompensas existentes de caçadores de bug para projetos de software open-source dos outros, disse Michal Zalewski, um membro da equipe de segurança do Google, que vai ajudar a rever as submissões das recompensas de correção, disse em um post no blog quarta-feira :

Esta abordagem pode facilmente sair pela culatra. Além dos relatórios válidos, a recompensa para os caçadores de “Bugs” convidará um volume significativo de tráfego falso – o suficiente para submergir completamente uma pequena comunidade de voluntários. Além de tudo isso, a fixação de um problema muitas vezes requer mais esforço do que encontrá-lo.

Assim, o esforço maior. Google vai pagar programadores que submetem suas melhorias, mas só depois de os mantenedores dos projetos de software aceitá-los. “Cabe aos mantenedores à decisão se aceita ou não uma correção proposta. Dada a natureza do programa, nós não queremos adivinhar as decisões daqueles gerenciando o projeto”, disse o Google.

Aqui estão os projetos iniciais que o Google pagará para melhorias:

  • Serviços de rede de infra-estrutura básica: OpenSSH, BIND, ISC DHCP
  • Infraestrutura Básica analisadores de imagens: libjpeg, libjpeg-turbo, libpng, giflib
  • Bases de código aberto do Google Chrome: Chromium, Blink
  • Outras bibliotecas de alto impacto: OpenSSL, zlib
  • Componentes de segurança crítica, comumente usados ​​do kernel do Linux (incluindo KVM)

Mais tarde, o Google disse que planeja ir mais longe para incluir este software, também:

  • Servidores utilizados web: Apache httpd, nginx, lighttpd
  • Serviços Popular  SMTP: Sendmail, Postfix, Exim
  • Melhorias de segurança conjunto de ferramentas para GCC, binutils, e llvm
  • Rede privada virtual: OpenVPN

Leia Também:

Google apresenta ferramentas contra ataques DDoS e espionagem digital

Android é mais seguro do que iPhone, afirma diretor do Google

Apple, Google e Microsoft exigem mais transparência do FBI e da NSA

Fonte: CNET