Sony lanza un programa de caza de bugs en PlayStation con recompensas de más de 50.000 dólares

Siguiendo la estela de Microsoft con Xbox y estudios como Riot Games, Sony ha anunciado un programa de caza de bugs o bug bounty con el que aspira a mejorar la seguridad de la familia PlayStation. El programa recompensará económicamente a los investigadores que detecten problemas en dichos productos con cuantías que oscilan entre los 100 y los 50.000 dólares en función de la gravedad del bug, aunque algunos especialmente críticos podrían estar incluso mejor recompensados.

Según señala ZDNet, el programa de caza de bugs cubre la consola PlayStation 4 y su sistema operativo, la red PlayStation Network y sus sitios web asociados y los periféricos oficiales de Sony para la PlayStation 4.

Es lógico que la propuesta no de alcance a PlayStation 5, puesto que ni siquiera está en el mercado y difícilmente los expertos en seguridad podrían ponerla a prueba, pero resulta llamativo que esta campaña llegue según se adivina el ocaso de la actual generación. No obstante, hay que tener en cuenta que las consolas de Sony disfrutan de una longevidad muy prolongada, por lo que la base de usuarios activos de PlayStation 4 seguirá siendo numerosa durante los próximos años, y habrá que protegerla mientras siga recibiendo soporte oficial.

Los investigadores que se sumen al programa de caza de bugs podrán optar a las siguientes recompensas, tal y como ya aparecen reflejadas en la campaña abierta en HackerOne:

Imagen

Aunque Sony es el último fabricante de videojuegos en lanzar un programa de caza de bugs, es con diferencia el mejor pagado de todos, puesto que las recompensas de Microsoft y Nintendo alcanzan un máximo de 20.000 dólares. Su propósito es en cualquier caso común: evitar las copias no autorizadas, la suplantación de identidad en compras online, el secuestro de cuentas, el uso de software no oficial y el lanzamiento de ataques contra las plataformas de juego en red.

Fuente: ZDNet
Alguno se va a hacer millonario xd
Los que ya tienen esos bugs y los conocen los presentarán, se llevarán la pasta y luego los publicarán para la scene.
Bug crítico: En mi playstation sale publicidad cuando yo en ningún momento la solicité o acepté tenerla de forma consciente.
¿Donde están mis 50000 dólares?
nekuro escribió:Bug crítico: En mi playstation sale publicidad cuando yo en ningún momento la solicité o acepté tenerla de forma consciente.
¿Donde están mis 50000 dólares?


Eso es una feature [hallow]
Y contratar beta testers? Es sólo una idea...
pupegbl escribió:Y contratar beta testers? Es sólo una idea...


Los tendrán, esto es un soborno a la Scene.
jaja así les sale super barato el tema. Que pájaros.
Que lastima que no pase lo mismo que pasa en la scene de iOS. Apple solo paga hasta 200.000 dolares por un exploit de esos guapos que te hacen temblar. Sin embargo, otros grupos estan pagando hasta un millon por esa informacion.

Lei en reddit que un muchachoa encontro uno y lo venido a los chinos por 600.000 dolares, y a la semana, se lo vendio a apple tambien por 40.000. Asi es como el Jailbreak va saliendo adelante.

Ojala eso mismo en PS4/PS5 y tener un CFW mas moderno y completo. Y no lo digo por la pirateria, pero por el resto de las funciones que son mucho mas interesante.
pupegbl escribió:Y contratar beta testers? Es sólo una idea...

Se refieren a fallos de seguridad, ahi me da a mi que poco puede hacer un beta tester, que alguien me corrija si me equivoco.
Asumo que los sceners van a esperar a que salgan los últimos juegos AAA para cobrar la recompensa y simultaneamente liberar los bugs para que tengamos un custom firmware lo suficientemente actualizado como para ejecutar todos los juegos de ps4 hasta la fecha.
A la ps4 lo quedan 4 dias de vida comercial, un custom firmware actualizado le vendría de perlas para hacerla interesante tras su muerte comercial.
Tambien es posible que sony quiera deshacerse de los ultimos bugs por miedo a que se utilice el posible modo de retrocompatibilidad con ps4 que se supone tendrá ps5 para cargar software en la ps5. O bien porque el firmware de ps5 estará basado en las últimas versiones del software de ps4 y quieren asegurarse de que no se llevan un bug heredado a la nueva plataforma.

Tru3 G4m3r escribió:
pupegbl escribió:Y contratar beta testers? Es sólo una idea...

Se refieren a fallos de seguridad, ahi me da a mi que poco puede hacer un beta tester, que alguien me corrija si me equivoco.

Los fallos de seguridad suelen aprovecharse de bugs en el sistema, los betatesters buscan bugs, asi que algo ayudan, pero encontrar el bug es el primer paso de un proceso muy largo hasta conseguir un exploit que permita la ejecución de código sin firmar.
@nekuro gracias por la aclaración, entonces partiendo de esa base, ¿Cualquiera que pueda localizar un bug está cualificado para crear una herramienta para vulnerar un sistema?
Si llegan a poner en el programa detectar fallos de hardware y problemas por ruido y ventilacion se arruina Sony.

Por cierto, cedo mi dinero al que reporte fallos de sonido en The Last of Us 2, el juego se oye muy bajo....Ah no es la turbina de la consola
Tru3 G4m3r escribió:@nekuro gracias por la aclaración, entonces partiendo de esa base, ¿Cualquiera que pueda localizar un bug está cualificado para crear una herramienta para vulnerar un sistema?


Si se tienen los conocimientos suficientes sí. Los bugs se pueden encontrar tanto en el software como en el hardware también. Consolas como Switch por ejemplo el agujero está en el hardware, aprovechando el método RCM para así cargar exploits. Un fallo por hardware es peor para la consola porque no hay manera de taparlo, a diferencia de las vulnerabilidades por software que se tapan con una actualización del sistema operativo.

En cuanto a la noticia pues nada nuevo, este tipo de iniciativas de recompensas existen desde hace mucho. La preocupación de Sony es más por PS5 que la actual PS4. Saben que lanzar una nueva consola al mercado con una vulnerabilidad la hundiría al fracaso, muchos estudios no se la jugarían en apostar por un consola vulnerable.
@Alejo I
Alejo I escribió:Aunque Sony es el último fabricante de videojuegos en lanzar un programa de caza de bugs, es con diferencia el mejor pagado de todos, puesto que las recompensas de Microsoft y Sony alcanzan un máximo de 20.000 dólares.

Disculpa Alejo... ¿Ese segundo "Sony" es correcto?
Saludos.
silfredo escribió:Si llegan a poner en el programa detectar fallos de hardware y problemas por ruido y ventilacion se arruina Sony.

Por cierto, cedo mi dinero al que reporte fallos de sonido en The Last of Us 2, el juego se oye muy bajo....Ah no es la turbina de la consola

Como se van a arruinar? Eso lo reporta una persona y fin
Siendo Sony me espero que digan que los informes que les lleguen no hay ningún bug por no pagar un duro y después con la info que reciban lo parchean por su cuenta...
Maito escribió:Los que ya tienen esos bugs y los conocen los presentarán, se llevarán la pasta y luego los publicarán para la scene.

si ya están corregidos no les servirá de mucho
Dyoser escribió:@Alejo I
Alejo I escribió:Aunque Sony es el último fabricante de videojuegos en lanzar un programa de caza de bugs, es con diferencia el mejor pagado de todos, puesto que las recompensas de Microsoft y Sony alcanzan un máximo de 20.000 dólares.

Disculpa Alejo... ¿Ese segundo "Sony" es correcto?
Saludos.

Nintendo :/
Toda iniciativa que implique mejorar los juegos debería de ser bienvenida por la comunidad.

Y si encima alguien se saca un dinerito mejor que mejor.
Entiendo que los exploits kernel privados de la scene son de conocimiento de múltiples usuarios, con lo que su venta la veo complicada. Quizá pudieran ser vendidos por un usuario pero al momento es probable que otro los hiciera públicos. Pienso yo. Lo que haga TheFlow con sus exploits, que hasta el momento era el único scener en que se podía confiar, quién lo sabe.

Edito: No digo nada.

https://hackerone.com/theflow0

Aún así digo lo de siempre. Me cuesta trabajo entender cómo es que a Sony le compensa perder cientos de millones en piratería por no dar la patada a webkit y desarrollar su propio framework web. Tiene muchas narices que webkit haya sido la puerta de entrada a PS3, PS4, PSV, 3DS y NSW (quizá más) y la gente siga confiando en él.
Azucar escribió:Alguno se va a hacer millonario xd

Para descubrir algún bug en el firmware donde habrá una puerta trasera para el hacking primero debes tener elevados conocimientos de seguridad informática y programación a nivel de ingeniería. La mejor forma de combatir al hacker de sombrero negro es ofrecer recompensa a cambio de información en las vulnerabilidades que se descubran. Sin embargo, cuanto mas complejo y grande sea un sistema operativo, mas vulnerabilidades deja y es fácil que hayan puertas traseras por descubrir.
pues nada que tengáis suerte. yo de informatica load comillas comillas del spectrum y ya.
rampopo escribió:pues nada que tengáis suerte. yo de informatica load comillas comillas del spectrum y ya.


...y ni eso...Load comillas comillas enter
Con los bugs de ps4 la gente se forraria.
capitan_link escribió:Con los bugs de ps4 la gente se forraria.


Son bugs de seguridad, es decir que te puedan hackear la consola. Vamos, no que se te pete al jugar al GTA. Vamos que tienes que ser un tío al nivel de la scene, un hacker que trabaja para seguridad, etc etc

Maito escribió:Los que ya tienen esos bugs y los conocen los presentarán, se llevarán la pasta y luego los publicarán para la scene.


Eh... no, firman un NDA, si lo filtran y se descubre, se les cae el pelo, la demanda seria muchísimo mas alta que los 50k que se llevarían.
Se me hace muy poco dinero, ¿una vulnerabilidad crítica de playstation network tiene un valor de sólo 3.000 dolares para Sony?
rudedude escribió:
Maito escribió:Los que ya tienen esos bugs y los conocen los presentarán, se llevarán la pasta y luego los publicarán para la scene.

si ya están corregidos no les servirá de mucho


Pagan por encontrarlos, no por corregirlos.
Además, quien persigue a la scene sabe que no hay que actualizar, hay un ejército de personas sin actualizar esperando cosas como estas, no es descabellado.

@Juan_Garcia, No será ni la primera ni la última vez que pasa y no se les cae el pelo a ninguno. A lo mejor pasan a formar parte de la plantilla y tal pero nada malo.
Si es para TLOU2 tiene unos cuantos por lo que he visto.

Pero bueno, con parches se solventará rápido.
Juan_Garcia escribió:Eh... no, firman un NDA, si lo filtran y se descubre, se les cae el pelo, la demanda seria muchísimo mas alta que los 50k que se llevarían.

¿Crees que un tío capaz de desarrollar un exploit para un sistema cerrado y diseñado para cargar solamente código firmado, no va a ser capaz de filtrar algo sin que lo pillen? Es que es tan facil como guardar la documentación en un ordenador sin mucha seguridad y que unos hackers "se lo roben".
Es una idea genial para probar el sistema. Haces un llamamiento mundial y los que se vean capaces te buscarán las cosquillas por la pasta. Tu ganas en seguridad sin tener que buscar a los mejores hackers por tu cuenta. Es poner precio rollo caza recompensas jajaja.
nekuro escribió:
Juan_Garcia escribió:Eh... no, firman un NDA, si lo filtran y se descubre, se les cae el pelo, la demanda seria muchísimo mas alta que los 50k que se llevarían.

¿Crees que un tío capaz de desarrollar un exploit para un sistema cerrado y diseñado para cargar solamente código firmado, no va a ser capaz de filtrar algo sin que lo pillen? Es que es tan facil como guardar la documentación en un ordenador sin mucha seguridad y que unos hackers "se lo roben".


Todas las empresas que hacen estas iniciativas les hacen firmar un NDA, y les hacen borrar toda la documentación y comprometerse a no dar acceso a terceros. Te piensas que les van a dar 50k y que tenga toda la libertad del mundo? Ademas mucho liberar, y apenas liberan exploits sin estar pagando Sony
Maito escribió:Los que ya tienen esos bugs y los conocen los presentarán, se llevarán la pasta y luego los publicarán para la scene.


La scene esta ahora en compartir las cuentas digitales, fijate esta generacion salvando switch lo ridicula que ha sido la pirateria, en xbox cero y en ps4 irrisoria
Adios Hack en 6.20,bienvenido compartir cuentas y ofertas en la store
si la scene de ps4 ya da asco/pena imagina con dinerito de por medio [facepalm]
parece que hay letra pequeña y seguiran sacando hack pero ahora cuando a Sony le venga en gana,claro y conciso.
Juan_Garcia escribió:
nekuro escribió:
Juan_Garcia escribió:Eh... no, firman un NDA, si lo filtran y se descubre, se les cae el pelo, la demanda seria muchísimo mas alta que los 50k que se llevarían.

¿Crees que un tío capaz de desarrollar un exploit para un sistema cerrado y diseñado para cargar solamente código firmado, no va a ser capaz de filtrar algo sin que lo pillen? Es que es tan facil como guardar la documentación en un ordenador sin mucha seguridad y que unos hackers "se lo roben".


Todas las empresas que hacen estas iniciativas les hacen firmar un NDA, y les hacen borrar toda la documentación y comprometerse a no dar acceso a terceros. Te piensas que les van a dar 50k y que tenga toda la libertad del mundo? Ademas mucho liberar, y apenas liberan exploits sin estar pagando Sony

Si si, eso sobre el papel esta muy bien, pero en la practica está tirado saltarselo. Estamos hablando de documentación digital, es literalmente imposible eliminarla del todo si el autor no quiere renunciar a ella, una copia en un pendrive o una microsd bien guardada, o directamente subida a internet; y si se libera siempre se puede alegar que fue hackeado y le robaron los datos. Si ponen tantas medidas legales, multas y todo eso es porque es tremendamente facil saltarse el acuerdo.
Manint escribió:
pupegbl escribió:Y contratar beta testers? Es sólo una idea...


Los tendrán, esto es un soborno a la Scene.

No, es una incitacion a que gente que forma parte de grupos sin aportar nada, le venda lo que el grupo ha descubierto a $ony.
gelon escribió:Aún así digo lo de siempre. Me cuesta trabajo entender cómo es que a Sony le compensa perder cientos de millones en piratería por no dar la patada a webkit y desarrollar su propio framework web. Tiene muchas narices que webkit haya sido la puerta de entrada a PS3, PS4, PSV, 3DS y NSW (quizá más) y la gente siga confiando en él.


Porque es un trabajo INMENSO, piensa que ahora mismo solo hay 3 motores de renderizado disponibles y otros 2 que los forkean. Y todo se basa en otro anterior porque empezar uno de cero y que cumpliera todos los requisitos es un trabajo que duraría decadas.

Webkit fork de KHTML: Safari, IOS, consolas,
Blink, el fork de Webkit de los gigantes de la industría (): usado en Chrome, Edge, Opera
EdgeHTML, el fork de Trident de MS (el del explorer), que anunció que abandonaba a favor de Blink, pero que aun mantiene temporalmente.
Gekko el único original de Netscape, desde el 98 (22 añazos tiene el tío): el de Mozilla
Goanna, el nuevo fork de Gecko de Mozilla optimizado para ARM

Con lo que al final o tiras por Webkit/Blink o tiras por Gekko/Goanna. Simplemente ya no existen más.
https://en.wikipedia.org/wiki/Browser_engine
Gocho escribió:Con lo que al final o tiras por Webkit/Blink o tiras por Gekko/Goanna. Simplemente ya no existen más.
https://en.wikipedia.org/wiki/Browser_engine

Evidentemente nadie dice que sea fácil. Digo que ya lo han hecho en el pasado y que evidentemente les compensa volver a hacerlo.

Edito: Lo último de TheFlow será HENlo, un nuevo agujero de seguridad en webkit. Y con eso tan solo Vita tiene tres exploits webkit diferentes [+risas]
@Juan_Garcia a vale entonces tiene más lógica.
Sospecho que este programa va a aumentar intensamente la cantidad de parches cuya explicación únicamente consistirá en "Este parche arregla inestabilidades del sistema".

Al estilo de los que nos comiamos sin parar los últimos años de Vita, por cierto.
40 respuestas