¿Qué tienen en común un investigador de 19 años de Uruguay, un dueño de un restaurant en Cluj, Rumania; y un profesor de Cambridge? Todos ellos son investigadores de seguridad: una comunidad global de profesionales, académicos, estudiantes y aficionados que son esenciales para la seguridad de nuestros productos y la red como un todo.
Estamos agradecidos de ser parte de esta comunidad y de apoyar su trabajo de varias maneras, incluyendo el Vulnerability Rewards Program (Programa de Recompensas por Vulnerabilidad) y nuestros premios académicos de Privacidad y Seguridad 2018.
Programa de Recompensa por Vulnerabilidad: revisión del año
Ya sea que se haya sido escrito por un PhD o por un aficionado, los software inevitablemente tienen “bugs” (errores o virus) que los hacen comportarse de formas inesperadas. Lo importante es que estos bugs sean identificados y corregidos lo antes posible.
Ya en el 2010, comenzamos el Programa de Recompensa por Vulnerabilidad para obtener ayuda de la comunidad de investigación de seguridad en la identificación y en el reporte de bugs en las aplicaciones de Google y los software.
El objetivo del programa es simple:
Alentamos a los investigadores a reportear estos temas para que podamos corregirlos rápidamente y mantener los datos de los usuarios seguros. También proveemos recompensas financieras a quienes reportan bugs, que varían entre USD100 a USD 200.000, basados en el nivel del riesgo de su descubrimiento.
Desde el 2015 hemos revisado lo que los investigadores del VRP han hecho para ayudar a los usuarios de Google a estar más seguros.
Aquí está lo hecho en 2018, en números:
Los investigadores
Gracias a los investigadores de todo el mundo, hemos podido arreglar diferentes tipos de bugs. Ezequiel Pereira, un investigador de 19 años de Uruguay, descubrió un bug del tipo Remote Code Execution (RCE) que le permitía obtener acceso remoto a nuestra consola Google Cloud Platform.
Tomasz Bojarski, de Polonia, descubrió un bug relacionado con Cross-site scripting (XSS), un tipo de bug de seguridad que puede permitir a un atacante cambiar el comportamiento o la apariencia de una website, robar datos privados o hacer acciones en nombre de otra persona. Tomasz fue el mayor cazador de bugs del año pasado y usó el dinero de su recompensa para abrir una hostería y un restaurant.
Luego que Dzmitry Lukyanenka, un investigador de Minsk, Bielorrusia; perdiera su trabajo, comenzó a cazar bugs full time y se sumó como parte de nuestro programa de becas VRP, que provee apoyo financiero para los cazadores de bugs prolíficos en el tiempo.
Premios de Investigación de Seguridad y Privacidad
También hemos trabajado junto a expertos académicos líderes en seguridad y privacidad, colaborando siempre que pudiéramos con la provisión de la tecnología necesaria para llevar a cabo ciertos proyectos de investigación.
Los avances académicos contribuyen a mejorar la privacidad de los datos y la seguridad en los años venideros.
El año pasado, anunciamos los premios de investigación en seguridad y privacidad, un nuevo esfuerzo para reconocer a los académicos que han hecho contribuciones importantes al campo. Los ganadores son seleccionados por un comité de investigadores senior en seguridad y privacidad de Google.
Hoy estamos revelando los ganadores del año 2018. Y, en nombre de ellos, estamos haciendo una contribución final a sus universidades que asciende a más de medio millón de USD:
Alina Oprea, Northeastern University: Seguridad de Nube Matthew Green, Johns Hopkins: Criptografía Thorsten Holz, Ruhr-Universität Bochum: Seguridad de sistemas Alastair Beresford, Cambridge: Seguridad de uso y privacidad, seguridad móvil Carmela Troncoso,?Ecole Polytechnique Fédérale de Lausanne: Privacy / Security ML Rick Wash, Michigan State University: Privacidad Usable y Seguridad Prateek Saxena, National University of Singapore: ML / Web seguridad
Ya sea que estén encontrando bugs hoy o haciendo descubrimientos que protegerán a la web en el futuro, la comunidad de investigación de seguridad está haciendo la información de todos más segura online. Continuaremos haciendo nuestra parte para apoyarla.
Publicado en Safety and Security - Google