Recompensa de errores

La versión actual de la página aún no ha sido revisada por colaboradores experimentados y puede diferir significativamente de la versión revisada el 6 de abril de 2021; las comprobaciones requieren 8 ediciones .

El programa Bug Bounty  es un programa ofrecido por algunos sitios web y desarrolladores de software a través del cual las personas pueden ser reconocidas y recompensadas por encontrar errores , especialmente aquellos relacionados con explotaciones y vulnerabilidades . Estos programas permiten a los desarrolladores detectar y corregir errores antes de que sean conocidos por el público en general, evitando el abuso. En particular, los programas Bug Bounty fueron implementados por Facebook , [1] Yahoo! , [2] Google , [3] Reddit , [4] Square , Apple y Microsoft. [5]

Historia

El programa Bug Bounty fue creado originalmente por Jarrett Ridlinhafer mientras trabajaba para Netscape Communications Corporation como ingeniero de soporte técnico. La corporación alentó a sus empleados a ascender en la escala corporativa y hacer lo que fuera necesario para realizar el trabajo.

A principios de 1996, a Jarrett Ridlinhafer se le ocurrió la frase y la idea de Bugs Bounty. Era consciente de que había muchos entusiastas y evangelistas de TI de varios productos en la corporación, algunos de los cuales incluso le parecían fanáticos, especialmente en relación con el navegador Mosaic / Netscape / Mozilla . Empezó a investigar la situación con más detalle y descubrió que la mayoría de los entusiastas eran en realidad desarrolladores de software. Ellos mismos corrigieron errores de productos y publicaron correcciones o mejoras de productos:

Ridlinhafer sintió que la empresa debería usar estos recursos y escribió una propuesta a su gerente sobre el Programa Netscape Bugs Bounty , quien invitó a Ridlinhafer a presentarlo en la próxima reunión ejecutiva de la empresa.

En la siguiente reunión ejecutiva, a la que asistieron James Barksdale, Mark Andreessen y los vicepresidentes de todos los departamentos, incluido el desarrollo de productos, cada miembro recibió una copia de la propuesta del programa Netscape Bugs Bounty Program , y se invitó a Ridlinhafer a presentar su idea a Netscape. alta dirección

Todos los presentes en la reunión aceptaron la idea, a excepción del vicepresidente de ingeniería , que no quiso avanzar por considerarlo una pérdida de tiempo. Sin embargo, su opinión fue rechazada y Ridlinhafer recibió un presupuesto inicial de $ 50,000 para comenzar a trabajar en su propuesta. El primer programa oficial Bugs Bounty se lanzó en 1995. [6] [7] [8]

El programa fue un éxito tan grande que aparece en muchos de los libros de éxito de Netscape.

Incidentes

En agosto de 2013, un estudiante de informática llamado Khalil informó en Facebook sobre un exploit que permitía a cualquier persona publicar un video en la cuenta de otra persona. Según sus correos electrónicos, trató de informar la vulnerabilidad como parte del programa Bug Bounty de Facebook, pero Facebook no lo entendió. Más tarde, él mismo usó este exploit en nombre del jefe de Facebook Mark Zuckerberg , por lo que se le negó una recompensa. [9]

Facebook ha comenzado a pagar a los investigadores que encuentran y reportan errores de seguridad mediante la emisión de tarjetas de débito especiales "White Hat" que se acreditan cada vez que los investigadores encuentran nuevos errores y fallas. “Los investigadores que encuentran errores y oportunidades para mejorar el sistema de seguridad son raros, los apreciamos y deberíamos recompensarlos”, dijo a CNET Ryan McGeehan, exgerente de seguridad de Facebook . “Tener esta tarjeta negra exclusiva es otra forma de reconocer su mérito. Pueden mostrar esta tarjeta en la conferencia y decir: Hice un trabajo especial para Facebook. [10] En 2014, Facebook dejó de emitir tarjetas de débito para investigadores.

India, que se encuentra entre los primeros del mundo en número de cazadores de vulnerabilidades, [11] lidera el programa Facebook Bug Bounty en número de errores encontrados.

yahoo! fue fuertemente criticado por enviar camisetas como recompensa a los investigadores de seguridad por descubrir y reportar vulnerabilidades en Yahoo. Este evento se conoció como T-shirt-gate ("T-shirt-gate"). [12] La empresa de pruebas de seguridad High-Tech Bridge ( Ginebra , Suiza ) emitió un comunicado de prensa afirmando que Yahoo! ofreció un crédito de $ 12.50 por vulnerabilidades, que podría usarse para comprar artículos de marca como camisetas, tazas y bolígrafos de la tienda de Yahoo. Ramsés Martínez, director de seguridad de la información de Yahoo, declaró más tarde en una entrada de blog [13] que él estaba detrás del programa y que lo pagó de su propio bolsillo. Como resultado, Yahoo! lanzó un nuevo programa Bug Bounty el 31 de octubre del mismo año, que permitía a los usuarios informar vulnerabilidades y recibir recompensas que iban desde $ 250 a $ 15,000, según la gravedad de los errores encontrados. [catorce]

Ecava encontró un problema similar, que lanzó el primer programa ICS Bug Bounty en 2013 [ 15] [16] . Fue criticada por ofrecer crédito en su tienda en lugar de dinero real, lo que no despertó entusiasmo entre los investigadores [17] . Según Ecava, desde el principio se pretendía que el programa fuera limitado y centrado en la seguridad de los usuarios de su producto IntegraXor SCADA [15] [16] .

Programas destacados

En octubre de 2013, Google anunció un cambio significativo en su programa de recompensas por errores. Anteriormente, el programa Bug Bounty cubría muchos productos de Google. Sin embargo, el programa se ha ampliado para incluir una serie de aplicaciones y bibliotecas gratuitas de alto riesgo , principalmente aquellas diseñadas para redes o funcionalidades de sistemas operativos de bajo nivel. Los informes que cumplen con las pautas de Google pueden recibir recompensas que oscilan entre $ 500 y $ 3133,70. [18] [19]

De manera similar, Microsoft y Facebook se unieron en noviembre de 2013 para patrocinar The Internet Bug Bounty, que ofrece una recompensa por informar vulnerabilidades y exploits para una amplia gama de software relacionado con Internet. [20] En 2017, este programa fue patrocinado por GitHub y la Fundación Ford ; está dirigido por voluntarios de Uber, Microsoft, Facebook, Adobe y HackerOne. [21] Incluye productos como Adobe Flash , Python , Ruby , PHP , Django , Ruby on Rails , Perl , OpenSSL , nginx , Apache HTTP Server y Phabricator . Además, el programa ofreció un premio por identificar vulnerabilidades más amplias que afectan a los sistemas operativos y navegadores web más utilizados , así como a Internet en general. [22]

En marzo de 2016, Peter Cook anunció el primer programa Bug Bounty del gobierno federal de EE. UU., Hack the Pentagon . [23] El programa se desarrolló del 18 de abril al 12 de mayo y más de 1400 personas enviaron 138 informes únicos a través de HackerOne. En total, el Departamento de Defensa de los Estados Unidos pagó $71,200. [24] En junio, el Secretario de Defensa Ash Carter se reunió con dos participantes, David Dworken y Craig Arend, para agradecerles su participación en el programa. [25]

Open Bug Bounty  es un programa colectivo de recompensas por errores lanzado en 2014 que le permite informar vulnerabilidades en sitios web y aplicaciones web con la esperanza de ser recompensado por sus propietarios.

El 8 de diciembre de 2020, la empresa kazaja de prestación de servicios de ciberseguridad ULE “Centro de Análisis e Investigación de Ataques Cibernéticos” lanzó la plataforma Nacional de identificación de vulnerabilidades BugBounty.kz . Además de empresas privadas, también se conectaron a la plataforma sistemas de información y recursos de organismos estatales. Desde el lanzamiento de la plataforma hasta el 28 de octubre de 2021 se han recibido 1.039 reportes de vulnerabilidad. Durante la operación de la plataforma, se identificaron vulnerabilidades que llevaron a la fuga de datos personales de instalaciones críticas de infraestructura de información y comunicación y la interceptación del control sobre los sistemas de soporte vital de toda una ciudad.

En 2021, Cyberpolygon LLC anunció y lanzó la plataforma BugBounty.ru , la primera plataforma en la Federación Rusa para buscar vulnerabilidades e interacción entre cazadores de errores y propietarios de recursos. Desde el lanzamiento del programa, se han identificado varios cientos de vulnerabilidades, que van desde menores hasta supercríticas.

En 2022, Positive Technologies [26] presentó [27] su plataforma The Standoff 365 Bug Bounty . Por primera vez, los investigadores de seguridad pueden ser recompensados ​​no solo por descubrir vulnerabilidades, sino también por implementar riesgos comerciales. En dos meses , más de 900 investigadores de seguridad se han registrado en la plataforma.

Véase también

Notas

  1. Seguridad de Facebook. Facebook WhiteHat . Facebook (26 de abril de 2014). Consultado el 11 de marzo de 2014. Archivado desde el original el 29 de enero de 2021.
  2. Yahoo! Programa de recompensas por errores . Hacker Uno . Consultado el 11 de marzo de 2014. Archivado desde el original el 26 de febrero de 2018.
  3. ^ "Programa de recompensas de evaluación de vulnerabilidad" . Consultado el 23 de noviembre de 2016. Archivado desde el original el 11 de marzo de 2014.
  4. "Reddit - sombrero blanco" . Consultado el 23 de noviembre de 2016. Archivado desde el original el 12 de abril de 2018.
  5. "Programas de recompensas de Microsoft" Archivado el 21 de noviembre de 2013.
  6. "Netscape anuncia Netscape Bugs Bounty con el lanzamiento de nestscape navigator 2.0"
  7. ^ "Plataforma de seguridad de aplicaciones Cobalt" . Consultado el 23 de noviembre de 2016. Archivado desde el original el 9 de octubre de 2016.
  8. CenturyLink CenturyLinkVoice: Por qué las empresas como Pinterest ejecutan programas de recompensas por errores a través de la nube . Consultado el 30 de julio de 2016. Archivado desde el original el 12 de abril de 2018.
  9. "Hacker publica informe de errores de Facebook en el muro de Zuckerberg" . Consultado el 23 de noviembre de 2016. Archivado desde el original el 11 de marzo de 2016.
  10. Whitehat, Facebook Tarjeta de débito whitehat de Facebook . CNET. Consultado el 2 de febrero de 2020. Archivado desde el original el 2 de febrero de 2020.
  11. Muchos cazadores de errores, pero poco respeto por los hackers de sombrero blanco en la India . Factor Daily (8 de febrero de 2018). Consultado el 4 de junio de 2018. Archivado desde el original el 22 de octubre de 2019.
  12. Puerta de camisetas, Yahoo! yahoo! Cuello de camiseta . ZDNet . Consultado el 2 de febrero de 2020. Archivado desde el original el 28 de septiembre de 2014.
  13. Recompensa de errores, Yahoo! Así que soy el tipo que envió la camiseta como agradecimiento . Ramsés Martínez. Consultado el 2 de octubre de 2013. Archivado desde el original el 12 de noviembre de 2020.
  14. Programa BugBounty, Yahoo! yahoo! lanzó su programa Bug Bounty . Ramsés Martínez. Consultado el 31 de octubre de 2013. Archivado desde el original el 2 de febrero de 2020.
  15. 12 Michael Toecker . Más información sobre el programa Bug Bounty de IntegraXor . Bono Digital (23 de julio de 2013). Consultado el 21 de mayo de 2019. Archivado desde el original el 27 de mayo de 2019.
  16. 12Steve Ragan . El proveedor de SCADA se enfrenta a una reacción violenta del público por el programa de recompensas por errores . OSC (18 de julio de 2013). Consultado el 21 de mayo de 2019. Archivado desde el original el 27 de julio de 2020.
  17. Fahmida Y. Rashi. Proveedor de SCADA criticado por programa de recompensas por errores "patético" . Semana de la Seguridad (16 de julio de 2013). Consultado el 21 de mayo de 2019. Archivado desde el original el 1 de octubre de 2019.
  18. Goodin, Dan Google ofrece premios en efectivo "leet" por actualizaciones de Linux y otro software del sistema operativo . Ars Technica (9 de octubre de 2013). Consultado el 11 de marzo de 2014. Archivado desde el original el 12 de marzo de 2016.
  19. Zalewski, Michal Ir más allá de las recompensas de vulnerabilidad . Blog de seguridad en línea de Google (9 de octubre de 2013). Consultado el 11 de marzo de 2014. Archivado desde el original el 22 de septiembre de 2015.
  20. Goodin, Dan Ahora hay un programa de recompensas por errores para todo Internet . Ars Technica (6 de noviembre de 2013). Consultado el 11 de marzo de 2014. Archivado desde el original el 11 de marzo de 2016.
  21. Facebook, GitHub y la Fundación Ford donan $300,000 al programa de recompensas por errores para la infraestructura de Internet . Venture Beat (21 de julio de 2017). Consultado el 4 de junio de 2018. Archivado desde el original el 2 de febrero de 2020.
  22. ^ "La recompensa de errores de Internet" . Consultado el 23 de noviembre de 2016. Archivado desde el original el 12 de marzo de 2014.
  23. ^ "El Departamento de Defensa invita a especialistas examinados a 'hackear' el Pentágono" (enlace descendente) . Consultado el 23 de noviembre de 2016. Archivado desde el original el 13 de marzo de 2016. 
  24. "Divulgación de vulnerabilidades para Hackear el Pentágono" Archivado el 11 de abril de 2016 en Wayback Machine .
  25. "Hacker de 18 años honrado en el Pentágono" . Consultado el 23 de noviembre de 2016. Archivado desde el original el 12 de abril de 2018.
  26. Tecnologías positivas  // Wikipedia. — 2022-07-24.
  27. Valeria Bunina . Positive Technologies contrató a cientos de piratas informáticos para proteger a las empresas rusas , gazeta.ru  (19 de mayo de 2022). Archivado desde el original el 25 de julio de 2022. Consultado el 25 de julio de 2022.

Enlaces