Las vulnerabilidades son probables, incluso en el mejor software. La creación de un programa de recompensas de errores es una forma de encontrarlos y corregirlos más rápido.

    5 razones para iniciar un programa de recompensas de errores¿Por qué invitar a la gente a buscar en tu código e intentar encontrar fallos? He aquí cinco buenas razones.

    Los probadores de penetración recientemente encontraron vulnerabilidades significativas en las aplicaciones Uber a través del programa público de recompensas de errores de la compañía, que anima a la gente a buscar y reportar vulnerabilidades críticas y significativas.

    Más información sobre ciberseguridad

    Ocho errores fueron descubiertos durante tres semanas por un equipo con sede en Portugal. Un defecto que encontraron les permitió descargar los historiales de viaje de los conductores y pasajeros individuales. También descubrieron un vale para un viaje de emergencia de $100 que Uber no conocía. Otras fallas de seguridad permitieron a los probadores obtener códigos de invitación a través de riders.uber.com, y obtener las direcciones de correo electrónico privadas de los conductores.

    El concepto de recompensar a la gente por encontrar fallas que luego podrían ser publicadas puede sonar a locura. Pero pregúntese lo siguiente: ¿quién preferiría que se enterara de un error desastroso en su código – alguien que trabaja en su nombre o en su contra? Un programa de recompensas de errores puede aprovechar el crowdsourcing para obtener resultados rápidamente, de una serie de investigadores con diferentes herramientas y técnicas.

    «Encontrar múltiples vulnerabilidades en un producto no es sorprendente», dijo Lane Thames, desarrollador de la empresa de ciberseguridad Tripwire. «Desarrollar software seguro es difícil, incluso para programadores experimentados que entienden los conceptos de seguridad.» Debido a que la construcción de sistemas a prueba de balas es un gran desafío, Thames dijo que cada vez más compañías están optando por implementar programas de recompensas de errores:

    «Los programas de recompensas de insectos abren las puertas y permiten que los hackers éticos tengan la oportunidad de poner sus habilidades a trabajar para obtener ganancias. Por otro lado, las empresas minimizan sus costos porque el pago por el servicio sólo se requiere para aquellos que encuentran vulnerabilidades dentro del alcance del programa. Al mismo tiempo, sus productos pueden ser más seguros. Este es un gran beneficio tanto para el hacker ético como para la compañía que patrocina la recompensa del bicho».

    VER: Hackers éticos: Cómo la contratación de sombreros blancos puede ayudar a defender a su organización contra los malos

    Las ganancias que implica encontrar bichos pueden ser significativas para los cazadores. Uber pagará hasta $10,000 por cualquier error encontrado que pueda comprometer las cuentas o ejecutar malware en uno de sus sistemas de producción. Incluso tienen un»sistema de lealtad» de recompensas de insectos que da a los hackers bonos por los repetidos descubrimientos de insectos en la plataforma de Uber. También se ha prometido publicar un «mapa del tesoro» para los cazadores de recompensas de bichos diseñado para guiarlos hacia las vulnerabilidades potenciales en el sitio, mapeando el código de la compañía para hacer que la caza de bichos sea lo más eficiente posible. También hay competiciones de recompensas de insectos, como Battlehack 2015, donde el ganador de la competencia de la final mundial obtuvo $100,000.

    Muchas caras famosas en el mundo de la tecnología utilizan el concepto de recompensa de errores, incluyendo Mozilla, Facebook, Paypal, Google y Microsoft. Incluso el gobierno de los Estados Unidos se ha unido al desfile. A principios de este año, el programa»Hack the Pentagon» rindió más de $70.000 en pagos del Departamento de Defensa de Estados Unidos.

    Puede encontrar una lista básica de recompensas de errores públicos aquí y una lista completa aquí. También puede consultar los programas de recompensas de errores dedicados a programas y lenguajes específicos (como Flash, Perl, PHP, etc.) aquí.

    Iniciar un programa de recompensas de errores

    Hay una gran cantidad de información sobre cómo convertirse en un cazarrecompensas de bichos, pero vale la pena ver cómo puede obtener un programa de recompensas de bichos para su organización en funcionamiento. Aquí hay algunas cosas a considerar:

    • Especifique lo que constituye una vulnerabilidad. No querrá que las funciones previstas se identifiquen erróneamente como vulnerabilidades (por ejemplo, la capacidad de recuperar datos públicos de un sitio web que se interpreta erróneamente como»pirateable»). Del mismo modo, si ha identificado problemas conocidos y está trabajando en soluciones de remediación, no quiere pagar a alguien para que le diga lo que ya sabe, así que añada esto a una base de datos de «errores conocidos» para que los investigadores puedan comparar sus hallazgos. También debe definir de antemano cualquier error conocido que no valga la pena resolver o que no sea un problema, por lo que no se envían por recompensas.
    • Establezca parámetros explícitos para su programa de recompensas; qué dominios, direcciones IP, aplicaciones o servicios están dentro del alcance (y cuáles NO) y qué pueden y qué no pueden hacer los cazadores de recompensas con las hazañas que puedan encontrar. Por ejemplo, si descubren que es posible descargar o eliminar datos privados, estipulen que no deben hacerlo para demostrar la validez de la vulnerabilidad; esto debe ser realizado por su propio equipo de seguridad y desarrollo.
    • Identificar una cantidad razonable de recompensas por las vulnerabilidades. Usted quiere asegurarse de que se paga una cantidad razonable para atraer a los cazadores de recompensas, pero no romper el banco a través de una plétora de informes de vulnerabilidades irrelevantes o de bajo riesgo. Vincular las recompensas de la vulnerabilidad al riesgo hacia los usuarios o sistemas. La capacidad de acceder o eliminar datos privados, poner en peligro las cuentas o ejecutar código malicioso debería generar mayores beneficios. Asegúrese de que su presupuesto pueda cumplir con el conjunto de propuestas de errores que pueda recibir y pague de manera justa para que los investigadores jueguen de manera justa.
    • Constituir qué nivel de detalle deben presentar los cazarrecompensas como evidencia de vulnerabilidad: documentación paso a paso, capturas de pantalla, grabaciones de vídeo de la actividad realizada, etc. Esto ayuda a establecer las expectativas para ambas partes.
    • Obtenga la aprobación de su equipo de seguridad y asegúrese de que los escáneres de detección o prevención de intrusiones, o cualquier otra medida de seguridad que envíe alertas, estén configurados para no notificarle cuando el programa de recompensas de errores esté activo. Sin embargo, el registro activo debe seguir realizándose como de costumbre.
    • Proporcione comunicación constante con los investigadores que participan en su programa de recompensas de errores para que ambas partes estén al tanto de los últimos hallazgos y desarrollos. Todos los investigadores deben tener el mismo acceso a los informes de fallo de los demás para evitar la redundancia.
    • No tienes que hacerlo solo. Hackerone ofrece una plataforma de recompensas de errores alojada que puede explorar a través de una prueba gratuita. Le permite definir parámetros de error, factores de elegibilidad, precios de recompensa y expectativas de los hackers, así como ver los resultados. Cobalt y Bugcrowd son otros ejemplos de proveedores de servicios similares.

    La seguridad es un viaje, no un destino

    Los programas de recompensas de bichos son sólo un factor para erradicar y arreglar las vulnerabilidades antes de que los malos puedan explotarlas. Así como no se puede construir una casa con sólo un martillo, no se puede asegurar completamente la casa con un simple candado. No existe una solución única que ayude a garantizar la mejor seguridad posible; la mejor opción es un conjunto de herramientas con varias medidas. Seguir las mejores prácticas de programación, codificar a través de principios seguros, utilizar pruebas de control de calidad para examinar el nuevo código en busca de fallas o vulnerabilidades, aprovechar las nuevas tendencias y tecnologías (además de estar al tanto de aquellas que pueden plantear riesgos de seguridad), participar en auto-exploraciones tales como pruebas de penetración e implementar programas de recompensas de errores, son partes esenciales de ese conjunto de herramientas.

    Boletín de noticias de Mobile Enterprise

    BYOD, vestimenta, IO, seguridad móvil, soporte remoto y los últimos teléfonos, tabletas y aplicaciones que los profesionales de TI deben conocer son algunos de los temas que abordaremos. Entregado Martes y Viernes

    Inscríbase hoy

    También vea:

    El malware de HummingBad infecta 10 millones de dispositivos Android y otros millones están en peligr
    o

    Informe: Las nuevas amenazas a la seguridad cuestan a las empresas 1 millón de euros por incidente y el rendimiento de la tecnología flash se ve afectad
    o

    Esté atento a los cargadores USB que registran las pulsaciones de tecla
    s

    Cómo Adele se convirtió en la última víctima de piratería de famosos