AVAST Software, fabricante del popular antivirus Avast, ha anunciado su Programa de Recompensas por Fallos de Seguridad.
Con el programa, AVAST Software recompensará a quienes le ayuden a encontrar y corregir los errores de seguridad en la versión más reciente de Avast Free Antivirus, Avast Pro Antivirus, y Avast Internet Security, para sistemas Windows.
Para AVAST los errores de seguridad en el software son una realidad. Apunta que cuando las empresas pueden apoyarse en sus comunidades de usuarios para encontrar y corregir los errores tienen generalmente más éxito que aquellas que no lo hacen.
AVAST Software toma en serio la seguridad de sus productos. Ello principalmente por la posición de liderazgo que le ha dado su producto Avast, que actualmente tiene más usuarios que cualquier otro antivirus en el mundo.
Los fallos de seguridad a premiar son aquellos que permitan la ejecución remota de código; escalar privilegios localmente; negación de servicio (DoS, por sus siglas en inglés); fugas del Avast Sandbox; ciertas elusiones del escáner que conduzcan a la infección directa, sin entrada adicional del usuario (no malware no detectado); y otros fallos que tengan alguna implicación seria de seguridad.
Para ser elegible para la recompensa, el error debe ser original y no declarado previamente. Además, el error no deberá revelarse públicamente hasta después de que una versión actualizada de Avast que lo corrija sea publicada. El programa establece un pago base de $200 USD por error de seguridad reportado. Según la criticidad del error y su pulcritud, la recompensa será mucho mayor. Cada error será juzgado por un panel independiente de expertos.
Los errores de ejecución de código remoto pueden significar un pago de entre 3 mil y 5 mil USD, o más. Estas cantidades también dependerán según la cantidad y calidad de los reportes de fallo que se reciban. A menos reportes, la recompensa será mayor.
El error encontrado debe ser reportado a la cuenta bugs@avast.com, preferentemente cifrando el mensaje con la llave pública PGP de AVAST. El reporte debe contener la información necesaria para reproducir el fallo en los equipos de AVAST. Aquí más información del programa.