EDICIóN GENERAL

Ubuntu hackeado en la Pwn2Own 2017

#34 yo la avalo, como técnico experto en la materia.

¿tienes a alguien que avale tu opinión?
#40 xD xD xD xD xD xD xD xD

En cuanto me presentes las firmas de change.org lo doy por bueno :troll:

Por favor ... que risas ...
#42 Lógica elemental: se intentará romper la seguridad con más ganas a algo si te pagan 100000 que si te pagan 10000. Y si no lo consiguen, es una buena noticia. Si pagara 1000 millones de euros y no lo cinsiguiera nadie, eso hablaría muy bien de la seguridad del producto
#101 Pues depende de quién y que motivos tenga, por ejemplo puede ser alguien que no esté interesado en el dinero y lo haga por otros motivos. Sin ir más lejos un matemático no quiso recibir el millón de dólares de un premio por un hito conseguido por él: techland.time.com/2011/05/03/math-genius-solves-100-year-old-problem-t

Pueden existir similitudes entre las motivaciones del hacking y los investigadores en matemáticas.

Por otro lado existe también un mercado negro de compra/venta de errores de seguridad, habría que analizar las dinámicas económicas de ese ámbito ya que podrían dejar en ridículo las cuantías de los premios que se pretenden usar como baremo.

A todo ello hay que añadir que existen organismos gubernamentales que sacan provecho de vulnerabilidades de software, de nuevo ese ámbito es opaco y difícilmente se podrán obtener conclusiones sobre la seguridad de los productos de ese ámbito.

La lógica elemental nos indica que es un entorno excesivamente complejo como para simplificarlo a los premios que una empresa en concreto decida donar para un concurso específico haciendo publicidad de su marca.
#103 Y a pesar de todo, si no consiguen romper la seguridad de algo habiendo un buen premio por el medio, algo quiere decir.

Y si lo consiguen, también.
#107 ¿Es un buen premio? ¿En comparación con qué?

Si consigues romper esa seguridad y te dan, no sé, 100 veces más en el mercado negro ¿sigue siendo un buen premio?

O si te prefieres presentarte a la empresa, organización o comunidad con ese descubrimiento para que te acepten en su equipo, con sueldo o no, ¿sigue siendo un buen premio?

Y en cualquier caso, ¿acceden a ese concurso todos los aspirantes capaces de conseguirlo? ¿o solo un pequeño segmento de ellos cada cual con sus motivos? (ya que mides el éxito o fracaso en función de los concursantes)

Si lo mides únicamente en términos de premios ¿iOS es 8 veces más seguro que Apache en tanto que el premio es 1,5 millones de euros?

www.eweek.com/security/top-ios-bug-bounty-award-hits-1.5m

Lo mires por donde lo mires usar los criterios de una única empresa hace aguas como baremo para medir la seguridad a escala planetaria.
#108 Si te dedicas a vender exploits en el mercado negro, no te presentas al concurso. Todos los fallos serán parcheados. Para eso se hace.

Pero hay gente que no se dedica a eso y sí va a estos concursos. Son un buen aliciente para los que no son delincuentes.

Un concurso de seguridad no es ningún criterio de seguridad de ningún tipo. Es simplemente un test de seguridad a productos. El pentesting es imprescindible, y estos concursos son una idea excelente.

menéame