Solo un hacker puede pensar como un hacker. Entonces, cuando se trata de volverse «a prueba de piratas informáticos», es posible que deba recurrir a un pirata informático.
La seguridad de las aplicaciones siempre ha sido un tema candente que se ha vuelto más candente con el tiempo.
Incluso con una horda de herramientas y prácticas defensivas a nuestra disposición (cortafuegos, SSL, criptografía asimétrica, etc.), ninguna aplicación basada en web puede afirmar que es segura más allá del alcance de los piratas informáticos.
¿Porqué es eso?
La sencilla razón es que la creación de software sigue siendo un proceso muy complejo y frágil. Todavía hay errores (conocidos y desconocidos) dentro de la base que usan los desarrolladores, y se están creando nuevos con el lanzamiento de nuevo software y bibliotecas. Incluso las empresas de tecnología de primer nivel están listas para pasar vergüenza ocasional, y por una buena razón.
Tabla de contenido
Estamos contratando . . . ¡Hackers!
Dado que los errores y las vulnerabilidades probablemente nunca abandonarán el ámbito del software, ¿dónde deja a las empresas que dependen de este software para sobrevivir? ¿Cómo puede, por ejemplo, una nueva aplicación de billetera estar segura de que resistirá los intentos desagradables de los piratas informáticos?
Sí, ya lo has adivinado: ¡contratando piratas informáticos para que vengan y tomen una grieta en esta aplicación recién acuñada! ¿Y por qué lo harían? Solo porque se ofrece una recompensa lo suficientemente grande: ¡la recompensa por errores! 🙂
Si la palabra «recompensa» trae recuerdos del Salvaje Oeste y balas disparadas sin abandono, esa es exactamente la idea aquí. De alguna manera, obtienes a los piratas informáticos más expertos y de élite (expertos en seguridad) para sondear tu aplicación, y si encuentran algo, son recompensados.
Hay dos formas de hacerlo: 1) organizar una recompensa por errores por su cuenta; 2) usando una plataforma de recompensas por errores.
Bug Bounty: autohospedado vs. plataformas
¿Por qué se tomaría la molestia de seleccionar (y pagar) una plataforma de recompensas por errores cuando simplemente puede alojarla por su cuenta? Quiero decir, solo crea una página con los detalles relevantes y haz algo de ruido en las redes sociales. Obviamente no puede fallar, ¿verdad?
¡Hacker no está convencido!
Bueno, esa es una buena idea, pero míralo desde la perspectiva del hacker. Luchar por los errores no es una tarea fácil, ya que requiere varios años de capacitación, un conocimiento prácticamente ilimitado de las cosas antiguas y nuevas, toneladas de determinación y más creatividad que la que tienen la mayoría de los «diseñadores visuales» (lo siento, ¡no pude resistirme a eso! :-PAGS).
El hacker no sabe quién eres o no está seguro de que pagarás. O tal vez, no está motivado. Las recompensas autohospedadas funcionan para gigantes como Google, Apple, Facebook, etc., cuyos nombres la gente puede poner con orgullo en su cartera. «Se encontró una vulnerabilidad de inicio de sesión crítica en la aplicación HRMS desarrollada por XYZ Tech Systems» no suena impresionante, ¿verdad (con las debidas disculpas a cualquier compañía que pueda parecerse a este nombre)?
Luego, hay otras razones prácticas (y abrumadoras) para no ir solo cuando se trata de recompensas por errores.
Falta de infraestructura
Los “hackers” de los que hemos estado hablando no son los que acechan en la Dark Web.
Esos no tienen tiempo ni paciencia para nuestro mundo «civilizado». En cambio, estamos hablando aquí de investigadores con formación en informática que están en una universidad o han sido cazarrecompensas durante mucho tiempo. Estas personas quieren y envían información en un formato específico, lo cual es un fastidio en sí mismo para acostumbrarse.
Incluso sus mejores desarrolladores tendrán dificultades para mantenerse al día, y el costo de oportunidad podría resultar demasiado alto.
Resolución de envíos
Finalmente, está la cuestión de la prueba. El software puede estar construido sobre reglas totalmente deterministas, pero exactamente cuándo se cumple un requisito en particular es tema de debate. Pongamos un ejemplo para entender esto mejor.
Supongamos que creó una recompensa por errores para los errores de autenticación y autorización. Es decir, afirma que su sistema está libre de riesgos de suplantación de identidad, que los piratas informáticos tienen que subvertir.
Ahora, el hacker ha encontrado una debilidad basada en cómo funciona un navegador en particular, lo que le permite robar el token de sesión de un usuario y hacerse pasar por él.
¿Es ese un hallazgo válido?
Desde la perspectiva del hacker, definitivamente, una brecha es una brecha. Desde su perspectiva, tal vez no, porque cree que esto cae en el dominio de la responsabilidad del usuario o que el navegador simplemente no es una preocupación para su mercado objetivo.
Si todo este drama estuviera ocurriendo en una plataforma de recompensas por errores, habría árbitros capaces de decidir el impacto del descubrimiento y cerrar el problema.
Dicho esto, echemos un vistazo a algunas de las plataformas populares de recompensas por errores que existen.
YesWeHack
YesWeHack es una plataforma global de recompensas por errores que ofrece divulgación de vulnerabilidades y seguridad colaborativa en muchos países, como Francia, Alemania, Suiza y Singapur. Brinda una solución disruptiva de Bug Bounty para abordar las amenazas que aumentan con el aumento de la agilidad comercial donde las herramientas tradicionales ya no cumplen con las expectativas.
YesWeHack le permite acceder al grupo virtual de hackers éticos y maximizar las capacidades de prueba. Seleccione los cazadores que desee y envíe los alcances para probarlos o compártalos con la comunidad YesWeHack. Sigue algunas normas y estándares estrictos para salvaguardar los intereses de los cazadores y los tuyos.
Mejore la seguridad de su aplicación aprovechando la capacidad de respuesta del cazador y minimice el tiempo de reparación y detección de vulnerabilidades. Podrá ver la diferencia una vez que inicie el programa.
Recompensa de errores abierta
¿Está pagando de más por los programas de recompensas por errores?
Probar Recompensa de errores abierta para pruebas de seguridad de multitudes.
Esta es una plataforma de recompensas de errores impulsada por la comunidad, abierta, gratuita y sin intermediarios. Además, ofrece divulgación de vulnerabilidades responsable y coordinada compatible con ISO 29147. Hasta la fecha, ha ayudado a solucionar más de 641 000 vulnerabilidades.
Los investigadores y profesionales de seguridad de sitios líderes como WikiHow, Twitter, Verizon, IKEA, MIT, Berkeley University, Philips, Yamaha y más han utilizado la plataforma Open Bug Bounty para resolver sus problemas de seguridad, como vulnerabilidades XSS, inyecciones SQL, etc. Puede encontrar profesionales altamente informados y receptivos para hacer su trabajo rápidamente.
Hackerone
Entre los programas de recompensas por errores, Hackerone es el líder cuando se trata de acceder a los piratas informáticos, crear sus programas de recompensas, correr la voz y evaluar las contribuciones.
Hay dos formas de usar Hackerone: use la plataforma para recopilar informes de vulnerabilidad y resolverlos usted mismo o deje que los expertos de Hackerone hagan el trabajo duro (clasificación). Triaging es simplemente el proceso de compilar informes de vulnerabilidad, verificarlos y comunicarse con los piratas informáticos.
Hackerone es utilizado por grandes nombres como Google Play, PayPal, GitHub, Starbucks y similares, por lo que, por supuesto, es para aquellos que tienen errores graves y bolsillos serios. 😉
Multitud de bichos
Multitud de bichos ofrece varias soluciones para evaluaciones de seguridad, una de ellas es Bug Bounty. Proporciona una solución SaaS que se integra fácilmente en el ciclo de vida de su software existente y facilita la ejecución de un programa exitoso de recompensas por errores.
Puede optar por tener un programa privado de recompensas por errores que involucre a unos pocos piratas informáticos seleccionados o uno público que recurra a miles de personas.
sombrerosseguros
Si es una empresa y no se siente cómodo haciendo público su programa de recompensas por errores, y al mismo tiempo necesita más atención de la que puede ofrecer una plataforma típica de recompensas por errores, sombrerosseguros es su apuesta más segura (terrible juego de palabras, ¿eh?).
Asesor de seguridad dedicado, perfiles detallados de piratas informáticos, participación solo por invitación: todo se proporciona según sus necesidades y la madurez de su modelo de seguridad.
Intigriti
Intigriti es una plataforma integral de recompensas por errores que lo conecta con piratas informáticos de sombrero blanco, ya sea que desee ejecutar un programa privado o público.
Para los hackers, hay un montón de recompensas agarrar. Dependiendo del tamaño de la empresa y de la industria, están disponibles búsquedas de errores que van desde 1.000 € hasta 20.000 €.
Sinack
Synack parece ser una de esas excepciones del mercado que rompen el molde y terminan haciendo algo masivo. Su programa de seguridad Hackear el Pentágono fue lo más destacado, lo que condujo al descubrimiento de varias vulnerabilidades críticas.
Entonces, si está buscando no solo descubrir errores, sino también orientación y capacitación en seguridad al más alto nivel, Sinack es el camino a seguir.
Conclusión
Así como se mantiene alejado de los curanderos que proclaman «curas milagrosas», manténgase alejado de cualquier sitio web o servicio que diga que la seguridad a prueba de balas es posible. Todo lo que podemos hacer es acercarnos un paso más hacia el ideal. Como tal, no se debe esperar que los programas de recompensas por errores produzcan aplicaciones sin errores, pero deben verse como una estrategia esencial para eliminar los realmente desagradables.
Mira esto curso de caza de recompensas de errores para aprender y ganar fama, recompensas y aprecio.
Conozca los programas de recompensas por errores más grandes del mundo.
¡Espero que aplastes muchos de esos bichos! 🙂