Mozilla ha anunciado que está ampliando su programa de recompensas por vulnerabilidades para incluir vulnerabilidades de aplicaciones Web críticas que se encuentran en una docena de sus páginas web.

Previamente, el programa de recompensas ofrecía un pago en efectivo por reportar vulnerabilidades de aplicaciones Web críticas en productos de usuario final, como Firefox, Firefox móvil y Thunderbird. Mozilla pagará a los cazadores de vulnerabilidades $500 a $3,000 por descubrir defectos, dependiendo de su gravedad.

“Queremos fomentar el descubrimiento de problemas de seguridad dentro de nuestras aplicaciones Web con el objetivo de mantener seguros a nuestros usuarios”, escribió Chris Lyon, director de seguridad de infraestructura, en el blog de Mozilla el pasado martes. “También queremos premiar a los investigadores de seguridad por sus esfuerzos con la esperanza de promover la investigación de seguridad constructiva”.

Anteriormente, Mozilla pagaba sumas de $3,000 por sólo los defectos más graves, pero ahora Mozilla está siguiendo los pasos del gigante de motores de búsqueda Google Inc., mediante la inclusión de aplicaciones Web en sus sitios web y ofreciendo recompensas sobre la base de la severidad de los defectos que se encuentran; mientras más grave es la amenaza, mayor es la recompensa.

La recompensa cubrirá las aplicaciones Web y una extensa lista de sitios como la página principal de Mozilla, Bugzilla y Firefox.com. Mozilla ha anunciado que el cross-site scripting (XSS) y el cross-site request forgery (CSRF) se encuentran entre algunas de las vulnerabilidades Web incluidas en el programa.

A los investigadores se les recomienda descargar el código fuente abierto de las aplicaciones web para buscar problemas en lugar de utilizar herramientas automatizadas en el sitio que podrían afectar la capacidad de Mozilla de mantener los sitios funcionando bien.

Los agujeros de seguridad que se determinan críticos son aquellos que permiten cualquier ejecución de código arbitrario en los sistemas. Los que se consideran huecos muy graves son aquellos que permiten obtener acceso a la información sensible del usuario, como contraseñas e información de tarjeta de crédito. Errores que no se incluirán en esta expansión de la recompensa son los que exponen información de poco valor, tales como historial de navegación de un usuario o nombres de archivos.

Mozilla dijo que nada más ha cambiado en el programa de recompensas original que se publicó en julio.

Google está lanzando un programa de recompensas por vulnerabilidades como un incentivo para que los investigadores de seguridad revelen las vulnerabilidades de seguridad del navegador Chrome.

En una entrada del blog de Google Chromium, Chris Evans, un ingeniero de seguridad de la información en el equipo de seguridad de Google Chrome, dijo que las vulnerabilidades de Chrome elegibles serían recompensadas con un mínimo de $500.

“Vamos a recompensar vulnerabilidades interesantes y originales reportadas por la comunidad de investigación sobre seguridad”, dijo Evans. “Mientras más personas estén involucradas en el escrutinio del código y el comportamiento de Chrome, más seguros estarán nuestros millones de usuarios”.

Sólo las vulnerabilidades que sean reportadas a través del gestor de fallos de Chrome son elegibles para una recompensa. La elegibilidad se aplica también a las vulnerabilidades descubiertas en los plug-ins del navegador que se incluyen con el navegador Chrome de forma predeterminada.

El Proyecto Chromium es de código abierto y abarca el navegador Chrome y el sistema operativo Chromium. Evans calificó el programa de la vulnerabilidad Chrome experimental y se comprometió con el patrocinio de Google en las recompensas.

Mozilla anunció su Programa de Recompensas de Fallos en 2004, financiado por la distribución de Linux Linspire y Mark Shuttleworth, el fundador del proyecto Ubuntu. Bajo el programa de Mozilla, los que reportan huecos de seguridad críticos válidos reciben una recompensa en efectivo de $ 500 y un T-shirt de Mozilla.

Según las directrices de Mozilla, sólo las vulnerabilidades remotas presentes en versiones recientes soportadas de Firefox o Thunderbird son elegibles para una recompensa. Los que reporten no pueden ser los autores de los errores de programación como colaboradores en el proyecto Mozilla.

Los investigadores de seguridad deben reportar la falla utilizando la herramienta de reporte Bugzilla de Mozilla y notificar al “Mozilla Security Group” por correo electrónico con el número de seguimiento y un breve resumen de la falla. También se incentiva a someter código de prueba de concepto.

Un número de proveedores de seguridad ofrecen pagar por los “exploits”. La iniciativa Zero Day de TippingPoint y la unidad iDefense de VeriSign han estado pagando por las vulnerabilidades no publicadas durante varios años. Algunos investigadores han cuestionado la ética de pagar por información sobre vulnerabilidades y cómo la información es divulgada a los fabricantes afectados.

La iniciativa Zero Day de TippingPoint se inició en 2005 para pagar a los investigadores en una escala móvil por encontrar nuevas vulnerabilidades en los paquetes de software comercial. Un año más tarde, el programa recibió más de 400 presentaciones. TippingPoint presenta los datos de la vulnerabilidad a los proveedores afectados y se encarga del resto del proceso de divulgación. El objetivo de los programas ha sido conseguir que los investigadores divulguen la información sin filtrar código de prueba de concepto que podría poner a miles de usuarios en peligro.