Programa de premiação por bug de segurança encontrado no avast!

Programa de premiação por bug de segurança encontrado no avast!

Olá fãs do avast!


No Bugs


É um prazer anunciar oficialmente o novo programa de premiação por bugs do avast!. Sendo uma companhia de segurança, nós sabemos que os bugs de segurança existem. Mas nós também sabemos que as companhias que são capazes de utilizar suas comunidades para descobrir e solucionar bugs têm geralmente mais sucesso do que aquelas que não conseguem este trunfo. Por isso, nós decidimos recompensar as pessoas que nos ajudarem a encontrar e solucionar bugs relacionados com a segurança do nosso próprio software. Isto provavelmente nos torna a primeira companhia de segurança com um programa desta natureza. Eu penso que na maioria dos casos as outras companhias adotam a seguinte posição: "Olha, nós somos uma companhia que oferece segurança. Portanto, nós sabemos o que é segurança e isto não vai acontecer conosco". Mas, na realidade, não é isto o que está acontecendo. Olhe para os sites de rastreio de bugs ou as bases de dados CVE e você verá que o software de segurança não é mais imune a estes problemas do que qualquer outro programa. Um pouco irônico, já que, antes de mais nada, as pessoas instalam programas de segurança para combater os problemas de segurança, não é verdade?


Nós do avast! tomamos isto muito a sério. Nós sabemos que sendo um líder do mercado (o avast! tem mais usuários do que qualquer outra companhia de antivírus do mundo), nós somos um alvo muito atrativo. Portanto, aqui vai a nossa convocação: vamos nos unir, encontrar e solucionar estes bugs antes que os produtores de malware o façam!


O programa funcionará assim:

  • O programa de bonificação está pensado somente para bugs relacionados com a segurança. Desculpe, nós não estamos pagando por outro tipo de problemas como bugs na interface, tradução, etc. (ainda que, se você encontrar este tipo de bug, naturalmente nós agradecemos muito que você nos informe a respeito).
  • Em geral, nós somente estamos interessados nos seguintes tipos de bugs (em ordem de importância):

    • Execução de código remoto. Estes são os bugs mais críticos.
    • Obtenção de privilégios locais. Isto é, utilizar o avast! para obter direitos administrativos em uma conta não-administrativa.
    • Denial-of-service (DoS). No caso do avast!, seriam típicas BSODs ou falhas no processo avastSvc.exe.
    • Fugas da Sandbox do avast! (através de bugs no nosso código).
    • Alguma forma de bypassar o escâner. Isto inclui bypasses diretos e claros (isto é, cenários que levem a uma infecção direta, com nenhuma intervenção adicional do usuário), em oposição a outras deficências como o motor de descompactação, etc. Em outras palavras, nós apenas estamos interessados nos casos que não podem ser mitigados pela adição de uma definição de vírus (por favor, não informe malware não detectado).
    • Outros bugs com sérias implicações de segurança (que serão considerados caso a caso).
  • O pagamento mínimo é de 200 dólares por bug. Dependendo do grau de criticidade do bug (e da clareza como for encontrado) a recompensa poderá ser muito maior (cada bug será julgado independentemente por um comitê de experts). Bugs de execução de código remoto renderão de 3.000 a 5.000 dólares ou mais.
  • Nós podemos alterar estas faixas de acordo com o número e a qualidade das relatórios que recebermos. De maneira geral, quanto menos relatórios nós recebermos, maior será a recompensa.
  • Nós somente pagaremos por bugs no próprio avast!. Por exemplo, se você encontrar um bug em uma biblioteca da Microsoft (mesmo que ela seja utilizada pelo avast!), por favor, informe à Microsoft (ainda que seria legal que você também nos informasse, mas, infelizmente, nós não podemos oferecer nenhuma recompensa nestes casos).
  • O programa está atualmente limitado às versões do avast! de clientes Windows (isto é, avast! Free Antivírus, avast! Pro Antivírus e avast! Internet Security). Somente bugs das últimas versões lançadas destes produtos serão considerados.
  • O pagamento será feito preferivelmente através do PayPal. Se você não puder aceitar o PayPal (por exemplo, porque ele não funciona no seu país), por favor, entre em contato conosco e nós tentaremos pensar em outra solução.
  • Devido à certas restrições legais, nós não podemos aceitar relatórios vindos dos seguintes países: Irã, Síria, Cuba, Coréia do Norte e Sudão.
  • Cabe ao pesquisador a responsabilidade de pagar quaisquer taxas ou outros impostos do seu próprio país de residência.
  • Para ser candidato à recompensa, o bug deve ser original e não ter sido descoberto previamente.
  • Se dois ou mais pesquisadores encontrarem o mesmo bug, a recompensa somente será paga ao que informar primeiro.
  • Você não pode tornar público o bug até que for lançada uma versão atualizada do avast! que o resolva. Caso contrário, a recompensa não será paga.
  • A recompensa somente será paga depois que corrigirmos o problema (ou, em casos específicos, que nós decidamos não o corrigir).
  • Alguns bugs podem levar mais tempo para serem corrigidos. Nós faremos nosso melhor esforço para corrigir qualquer bug crítico assim que possível. Mas agradecemos a sua paciência.
  • Os empregados da AVAST e seus parentes próximos (irmãos, filhos ou esposa) e parceiros de negócios da AVAST, agências, distribuidores e seus empregados estão excluídos deste programa.
  • Nós nos reservamos o direito de alterar as regras do programa ou de cancelá-lo a qualquer momento.




Como informar um bug e candidatar-se à recompensa:

  • Por favor, envie as informações do bug para bugs@avast.com.
  • Se você quiser criptografar o seu email (recomendado), por favor, utilize esta chave PGP.
  • Um bom relatório de bug deve conter informações suficientes para reproduzi-lo em nossos laboratórios. Por favor, inclua todas as informações que possam ser relevantes, os dados exatos do seu sistema, uma descrição detalhada do bug, exemplos de código (se for o caso), etc. Ele também precisa conter certa análise pertinente: este é um programa pensado para pesquisadores de segurança e desenvolvedores de software e nós esperamos certo nível de qualidade nestes relatórios.
  • Você receberá uma resposta de um membro do avast! confirmando o recebimento do seu email, geralmente em 24 horas. Se você não receber uma resposta, por favor, não pense que nós o estamos ignorando, pois estamos fazendo o possível para dar seguimento ao processo com urgência. Também neste caso, é possível que o seu email não tenha passado através do nosso filtro de spam.




Por fim, eu gostaria de agradecer a todos os que ajudarem a encontrar e corrigir bugs em nossos produtos. Torcemos para que este novo programa de recompensas valorize este tipo de iniciativas.


Feliz caça aos bugs!

--> -->