Un programa de recompensa por errores es un trato ofrecido por muchos sitios web, organizaciones y desarrolladores de software mediante el cual las personas pueden recibir reconocimiento y compensación [1] [2] por informar errores , especialmente aquellos relacionados con vulnerabilidades y exploits de seguridad .
Estos programas permiten a los desarrolladores descubrir y resolver errores antes de que el público en general los sepa, evitando incidentes de abuso generalizado. Un gran número de organizaciones han implementado programas de recompensas por errores, como Mozilla , [3] [4] Facebook , [5] Yahoo! , [6] Google , [7] Reddit , [8] Square , [9] Microsoft , [10] [11] y la recompensa por errores de Internet. [12]
Empresas ajenas a la industria de la tecnología, incluidas organizaciones tradicionalmente conservadoras como el Departamento de Defensa de los Estados Unidos , han comenzado a utilizar programas de recompensas por errores. [13] El uso por parte del Pentágono de programas de recompensas por errores es parte de un cambio de postura que ha visto a varias agencias gubernamentales estadounidenses cambiar el rumbo de amenazar a los piratas informáticos de sombrero blanco con recursos legales a invitarlos a participar como parte de un marco o política de divulgación de vulnerabilidades integral. [14]
Historia
Hunter y Ready iniciaron el primer programa conocido de recompensas por errores en 1983 para su sistema operativo Versatile Real-Time Executive . Cualquiera que encontrara e informara un error recibiría un Volkswagen Beetle (también conocido como Bug) a cambio. [15]
Un poco más de una década después, en 1995, Jarrett Ridlinghafer, un ingeniero de soporte técnico de Netscape Communications Corporation acuñó la frase "Bugs Bounty".
Netscape animó a sus empleados a esforzarse y hacer lo que sea necesario para hacer el trabajo. Ridlinghafer reconoció que Netscape tenía muchos entusiastas de los productos y evangelistas, algunos de los cuales incluso podrían considerarse fanáticos de los navegadores de Netscape. Comenzó a investigar el fenómeno con más detalle y descubrió que muchos de los entusiastas de Netscape eran en realidad ingenieros de software que estaban arreglando los errores del producto por su cuenta y publicando las correcciones o soluciones alternativas, ya sea en foros de noticias en línea que habían sido creados por el soporte técnico de Netscape. departamento, o en el sitio web no oficial "Netscape U-FAQ", que enumera todos los errores conocidos y características del navegador, así como instrucciones sobre soluciones y correcciones.
Ridlinghafer pensó que la empresa debería aprovechar estos recursos y propuso el 'Programa Netscape Bugs Bounty', que presentó a su gerente, quien a su vez sugirió que Ridlinghafer lo presentara en la próxima reunión del equipo ejecutivo de la empresa. En la siguiente reunión del equipo ejecutivo, a la que asistieron James Barksdale , Marc Andreessen y los vicepresidentes de todos los departamentos, incluida la ingeniería de productos, a cada miembro se le entregó una copia de la propuesta del 'Programa Netscape Bugs Bounty' y se invitó a Ridlinghafer a presentar su idea a el equipo ejecutivo de Netscape. Todos en la reunión acogieron la idea, excepto el vicepresidente de Ingeniería, que no quiso que siguiera adelante creyendo que era una pérdida de tiempo y recursos. Sin embargo, el vicepresidente de ingeniería fue anulado y Ridlinghafer recibió un presupuesto inicial de $ 50 mil para ejecutar la propuesta.
El 10 de octubre de 1995, Netscape lanzó el primer programa de recompensas por errores tecnológicos para el navegador Netscape Navigator 2.0 Beta. [16] [17]
Controversia de la política de divulgación de vulnerabilidades
En agosto de 2013, un estudiante palestino de informática denunció una vulnerabilidad que permitía a cualquiera publicar un vídeo en una cuenta arbitraria de Facebook. Según la comunicación por correo electrónico entre el estudiante y Facebook, intentó informar de la vulnerabilidad utilizando el programa de recompensas por errores de Facebook, pero los ingenieros de Facebook malinterpretaron al estudiante. Más tarde, aprovechó la vulnerabilidad utilizando el perfil de Facebook de Mark Zuckerberg , lo que provocó que Facebook se negara a pagarle una recompensa. [18]
Facebook comenzó a pagar a los investigadores que encuentran e informan errores de seguridad emitiéndoles tarjetas de débito de marca personalizada "White Hat" que se pueden recargar con fondos cada vez que los investigadores descubren nuevos defectos. "Los investigadores que encuentran errores y mejoras de seguridad son raros, los valoramos y tenemos que encontrar formas de recompensarlos", dijo a CNET Ryan McGeehan, ex gerente del equipo de respuesta de seguridad de Facebook, en una entrevista. “Tener esta tarjeta negra exclusiva es otra forma de reconocerlos. Pueden presentarse en una conferencia y mostrar esta tarjeta y decir 'Hice un trabajo especial para Facebook' ”. [19] En 2014, Facebook dejó de emitir tarjetas de débito a los investigadores.
En 2016, Uber experimentó un incidente de seguridad cuando una persona accedió a la información personal de 57 millones de usuarios de Uber en todo el mundo. El individuo supuestamente exigió un rescate de $ 100,000 para destruir los datos de los usuarios. En testimonio ante el Congreso, Uber CISO indicó que la empresa verificó que los datos habían sido destruidos antes de pagar los $ 100,000. [20] El Sr. Flynn lamentó que Uber no revelara el incidente en 2016. Como parte de su respuesta a este incidente, Uber trabajó con su socio HackerOne para actualizar las políticas de su programa de recompensas por errores para, entre otras cosas, explicar más a fondo la buena fe investigación y divulgación de vulnerabilidades. [21]
Yahoo! fue severamente criticado por enviar Yahoo! Camisetas como recompensa a los Investigadores de Seguridad por encontrar y reportar vulnerabilidades de seguridad en Yahoo !, lo que provocó lo que se denominó T-shirt-gate . [22] High-Tech Bridge , una empresa de pruebas de seguridad con sede en Ginebra, Suiza, emitió un comunicado de prensa diciendo que Yahoo! ofreció $ 12.50 en crédito por vulnerabilidad, que podría usarse para artículos de la marca Yahoo, como camisetas, vasos y bolígrafos de su tienda. Ramsés Martínez, director del equipo de seguridad de Yahoo, afirmó más tarde en una publicación de blog [23] que él estaba detrás del programa de recompensas de cupones y que básicamente los había estado pagando de su propio bolsillo. Finalmente, Yahoo! lanzó su nuevo programa de recompensas por errores el 31 de octubre del mismo año, que permite a los investigadores de seguridad enviar errores y recibir recompensas entre $ 250 y $ 15,000, dependiendo de la gravedad del error descubierto. [24]
De manera similar, cuando Ecava lanzó el primer programa conocido de recompensas por errores para ICS en 2013, [25] [26] fueron criticados por ofrecer créditos en la tienda en lugar de efectivo, lo que no incentiva a los investigadores de seguridad. [27] Ecava explicó que el programa estaba destinado a ser inicialmente restrictivo y centrado en la perspectiva de seguridad humana para los usuarios de IntegraXor SCADA , su software ICS. [25] [26]
Geografía
Aunque los envíos de recompensas por errores provienen de muchos países, algunos países tienden a enviar más errores y recibir más recompensas. El Estados Unidos y la India son los principales países desde los que los investigadores presenten errores. [28] India, que tiene el primer o el segundo mayor número de cazadores de errores en el mundo, según el informe que se cite, [29] encabezó el Programa de Recompensas por Errores de Facebook con el mayor número de errores válidos. [30] "India se ubicó en la cima con el número de presentaciones válidas en 2017, con Estados Unidos y Trinidad y Tobago en segundo y tercer lugar, respectivamente", citó Facebook en una publicación. [31]
Programas notables
En octubre de 2013, Google anunció un cambio importante en su Programa de Recompensas por Vulnerabilidad. Anteriormente, había sido un programa de recompensas por errores que cubría muchos productos de Google . Sin embargo, con el cambio, el programa se amplió para incluir una selección de aplicaciones y bibliotecas de software libre de alto riesgo , principalmente aquellas diseñadas para redes o para funciones de sistema operativo de bajo nivel . Las presentaciones que Google considere que se adhieren a las pautas serían elegibles para recompensas que van desde $ 500 a $ 3133.70. [32] [33] En 2017, Google amplió su programa para cubrir vulnerabilidades encontradas en aplicaciones desarrolladas por terceros y disponibles a través de Google Play Store. [34] El programa de recompensas por vulnerabilidades de Google ahora incluye vulnerabilidades que se encuentran en los productos de Google, Google Cloud, Android y Chrome, y recompensas de hasta $ 31,337. [35]
Microsoft y Facebook se asociaron en noviembre de 2013 para patrocinar Internet Bug Bounty, un programa que ofrece recompensas por informar sobre ataques y exploits para una amplia gama de software relacionado con Internet. [36] En 2017, GitHub y la Fundación Ford patrocinaron la iniciativa, que es administrada por voluntarios de Uber, Microsoft, Facebook, Adobe, HackerOne, GitHub, NCC Group y Signal Sciences. [37] El software cubierto por IBB incluye Adobe Flash , Python , Ruby , PHP , Django , Ruby on Rails , Perl , OpenSSL , Nginx , Apache HTTP Server y Phabricator . Además, el programa ofrecía recompensas por exploits más amplios que afectaban a los sistemas operativos y navegadores web más utilizados , así como a Internet en su conjunto. [38]
En marzo de 2016, Peter Cook anunció el primer programa de recompensas por errores del gobierno federal de EE. UU., El programa "Hack the Pentagon". [39] El programa se desarrolló del 18 de abril al 12 de mayo y más de 1.400 personas presentaron 138 informes únicos válidos a través de HackerOne . En total, el Departamento de Defensa de EE . UU . Pagó 71.200 dólares. [40]
En 2019, la Comisión Europea anunció la iniciativa EU-FOSSA 2 bug bounty para proyectos populares de código abierto, incluidos Drupal , Apache Tomcat , VLC , 7-zip y KeePass . El proyecto fue co-facilitado por la plataforma europea de recompensas por errores Intigriti y HackerOne y resultó en un total de 195 vulnerabilidades únicas y válidas. [41]
Open Bug Bounty es un programa de recompensas de errores de seguridad colectiva establecido en 2014 que permite a las personas publicar vulnerabilidades de seguridad de sitios web y aplicaciones web con la esperanza de obtener una recompensa de los operadores de sitios web afectados.
Las plataformas de recompensas de errores más grandes de Europa: las plataformas de recompensas de errores administran los programas de recompensas de errores en lugar de las empresas para quitarles el trabajo de encima. Validan los informes, se comunican con los piratas informáticos y también organizan las tareas de administración financiera y laboral en nombre de la empresa. Algunos sitios en Europa: Intigriti, Yeswehack, HACKRATE y HACKTIFY .
Ver también
- Cazarrecompensas
- Industria de armas cibernéticas
- Cheque de recompensa de Knuth (programa en 1980)
- Lista de problemas no resueltos en informática
- Lista de problemas matemáticos sin resolver
- Mercado de exploits de día cero
- Recompensa de código abierto
- Sombrero blanco (seguridad informática)
- Zerodio
Referencias
- ^ "El informe de seguridad impulsado por piratas informáticos: quiénes son los piratas informáticos y por qué piratean p. 23" (PDF) . HackerOne. 2017 . Consultado el 5 de junio de 2018 .
- ^ Ding, Aaron Yi; De Jesus, Gianluca Limon; Janssen, Marijn (2019). "Hacking ético para impulsar la gestión de vulnerabilidades de IoT: un primer vistazo a los programas de recompensas de errores y divulgación responsable" . Actas de la Octava Conferencia Internacional sobre Telecomunicaciones y Percepción Remota - ICTRS '19 . Ictrs '19. Rodas, Grecia: ACM Press: 49–55. doi : 10.1145 / 3357767.3357774 . ISBN 978-1-4503-7669-3. S2CID 202676146 .
- ^ "Programa de recompensas de errores de seguridad de Mozilla" . Mozilla . Consultado el 9 de julio de 2017 .
- ^ Kovacs, Eduard (12 de mayo de 2017). "Mozilla renueva el programa Bug Bounty" . SecurityWeek . Consultado el 3 de agosto de 2017 .
- ^ Seguridad de Facebook (26 de abril de 2014). "Facebook WhiteHat" . Facebook . Consultado el 11 de marzo de 2014 .
- ^ "Programa de recompensas de errores de Yahoo!" . HackerOne . Consultado el 11 de marzo de 2014 .
- ^ "Programa de recompensas de evaluación de vulnerabilidad" . Consultado el 11 de marzo de 2014 .
- ^ "Reddit - sombrero blanco" . Reddit . Consultado el 30 de mayo de 2015 .
- ^ "Programa de recompensas de errores cuadrados" . HackerOne . Consultado el 6 de agosto de 2014 .
- ^ "Programas de recompensas de Microsoft" . Programas de recompensas de Microsoft . Security TechCenter. Archivado desde el original el 21 de noviembre de 2013 . Consultado el 2 de septiembre de 2016 .
- ^ Zimmerman, Steven (26 de julio de 2017). "Microsoft anuncia el programa Windows Bug Bounty y la extensión del programa Hyper-V Bounty" . Desarrolladores XDA . Consultado el 3 de agosto de 2017 .
- ^ HackerOne. "Bug Bounties - Programas de código abierto Bug Bounties" . Consultado el 23 de marzo de 2020 .
- ^ "El Pentágono se abrió a los piratas informáticos y corrigió miles de errores" . Cableado . 10 de noviembre de 2017 . Consultado el 25 de mayo de 2018 .
- ^ "Un marco para un programa de divulgación de vulnerabilidades para sistemas en línea" . Unidad de Ciberseguridad, Sección de Delitos Informáticos y Propiedad Intelectual División Criminal Departamento de Justicia de EE. UU. Julio de 2017 . Consultado el 25 de mayo de 2018 .
- ^ "El primer programa de recompensas" de errores " . Gorjeo. 8 de julio de 2017 . Consultado el 5 de junio de 2018 .
- ^ "Netscape anuncia Netscape Bugs Bounty con el lanzamiento de netscape navigator 2.0" . Archivo de Internet. Archivado desde el original el 1 de mayo de 1997 . Consultado el 21 de enero de 2015 .
- ^ "Plataforma de seguridad de aplicaciones Cobalt" . Cobalto . Consultado el 30 de julio de 2016 .
- ^ "Hackearon la página de Facebook de Zuckerberg para probar fallas de seguridad" . CNN. 20 de agosto de 2013 . Consultado el 17 de noviembre de 2019 .
- ^ Whitehat, Facebook. "Tarjeta de débito Facebook whitehat" . CNET.
- ^ "Testimonio de John Flynn, director de seguridad de la información, Uber Technologies, Inc" (PDF) . Senado de Estados Unidos. 6 de febrero de 2018 . Consultado el 4 de junio de 2018 .
- ^ "Uber refuerza la política de extorsión de recompensas por errores" . Publicación de amenazas. 27 de abril de 2018 . Consultado el 4 de junio de 2018 .
- ^ Camiseta Gate, Yahoo !. "Puerta de la camiseta de Yahoo" . ZDNet .
- ^ Bug Bounty, Yahoo !. "Así que soy el tipo que envió la camiseta como agradecimiento" . Ramses Martinez . Consultado el 2 de octubre de 2013 .
- ^ Programa BugBounty, Yahoo !. "Yahoo! Lanzó su programa Bug Bounty" . Ramses Martinez . Consultado el 31 de octubre de 2013 .
- ^ a b Toecker, Michael (23 de julio de 2013). "Más sobre el programa Bug Bounty de IntegraXor" . Vínculo digital . Consultado el 21 de mayo de 2019 .
- ^ a b Ragan, Steve (18 de julio de 2013). "El proveedor de SCADA se enfrenta a una reacción pública por el programa de recompensas por errores" . CSO . Consultado el 21 de mayo de 2019 .
- ^ Rashi, Fahmida Y. (16 de julio de 2013). "Proveedor de SCADA criticado por el" patético "programa de recompensas por errores" . Semana de la seguridad . Consultado el 21 de mayo de 2019 .
- ^ "El informe de hackers de 2019" (PDF) . HackerOne . Consultado el 23 de marzo de 2020 .
- ^ "Cazadores de errores en abundancia, pero poco respeto por los piratas informáticos de sombrero blanco en la India" . Factorizar diariamente. 8 de febrero de 2018 . Consultado el 4 de junio de 2018 .
- ^ "Lo más destacado de Facebook Bug Bounty 2017: $ 880.000 pagados a los investigadores" . Facebook. 11 de enero de 2018 . Consultado el 4 de junio de 2018 .
- ^ "Lo más destacado de Facebook Bug Bounty 2017: $ 880.000 pagados a los investigadores" . Facebook. 11 de enero de 2018 . Consultado el 4 de junio de 2018 .
- ^ Goodin, Dan (9 de octubre de 2013). "Google ofrece" leet "premios en efectivo por actualizaciones de Linux y otro software del sistema operativo" . Ars Technica . Consultado el 11 de marzo de 2014 .
- ^ Zalewski, Michal (9 de octubre de 2013). "Más allá de las recompensas por vulnerabilidad" . Blog de seguridad en línea de Google . Consultado el 11 de marzo de 2014 .
- ^ "Google lanzó un nuevo programa de recompensas por errores para erradicar vulnerabilidades en aplicaciones de terceros en Google Play" . The Verge. 22 de octubre de 2017 . Consultado el 4 de junio de 2018 .
- ^ "Programa de recompensas de evaluación de vulnerabilidad" . Consultado el 23 de marzo de 2020 .
- ^ Goodin, Dan (6 de noviembre de 2013). "Ahora hay un programa de recompensas por errores para todo Internet" . Ars Technica . Consultado el 11 de marzo de 2014 .
- ^ "Facebook, GitHub y la Fundación Ford donan 300.000 dólares al programa de recompensas por errores para la infraestructura de Internet" . VentureBeat. 21 de julio de 2017 . Consultado el 4 de junio de 2018 .
- ^ "La recompensa de errores de Internet" . HackerOne . Consultado el 11 de marzo de 2014 .
- ^ "DoD invita a especialistas examinados a 'Hackear' el Pentágono" . DEPARTAMENTO DE DEFENSA DE ESTADOS UNIDOS . Consultado el 21 de junio de 2016 .
- ^ "Divulgación de vulnerabilidad para Hack the Pentagon" . HackerOne . Consultado el 21 de junio de 2016 .
- ^ "EU-FOSSA 2 - Resumen de recompensas de errores" (PDF) .
enlaces externos
- Guía de búsqueda de recompensas de errores para un método de ganancia avanzado
- Lista internacional independiente de programas de divulgación y recompensa de errores
- Lista de recompensas de errores de multitudes
- La lista de recompensas por errores de Internet
- Programa de recompensas por errores de AT&T
- Programa de recompensas por errores de PayPal Inc
- Programa de recompensas de errores de Facebook Whitehat
- Programa de recompensas por errores de United Airlines
- Programa de recompensas por vulnerabilidad de Google
- Programa de adquisición de vulnerabilidades Zerodium Premium
- La historia de los programas de recompensas por errores
- Uno de los mejores servidores de discordia de recompensas de errores.