Solo un hacker puede pensar como un hacker. Por lo tanto, cuando se trata de convertirse en "a prueba de piratas informáticos", es posible que deba recurrir a un pirata informático.
La seguridad de las aplicaciones siempre ha sido un tema candente que solo se ha vuelto más candente con el tiempo.
Incluso con una horda de herramientas defensivas y práctica a nuestra disposición (cortafuegos, SSL, criptografía asimétrica, etc.), ninguna aplicación basada en web puede afirmar que es segura más allá del alcance de los piratas informáticos.
¿Por qué es eso?
La sencilla razón es que la creación de software sigue siendo un proceso muy complejo y frágil. Todavía hay errores (conocidos y desconocidos) dentro de la base que usan los desarrolladores, y se están creando nuevos con el lanzamiento de nuevos programas y bibliotecas. Incluso las empresas de tecnología de primer nivel están preparadas para una vergüenza ocasional, y por una buena razón.
Estamos contratando . . . Hackers!
Dado que errores y vulnerabilidades probablemente nunca abandonará el ámbito del software, ¿dónde deja a las empresas que dependen de este software para sobrevivir? ¿Cómo puede, por ejemplo, una nueva aplicación de billetera estar segura de que resistirá los desagradables intentos de los piratas informáticos?
Sí, ya lo has adivinado: ¡contratando hackers para que vengan y prueben esta nueva aplicación! ¿Y por qué lo harían? Solo porque hay una recompensa lo suficientemente grande en oferta: ¡la recompensa por errores! 🙂
Si la palabra "recompensa" trae recuerdos del Salvaje Oeste y las balas disparadas sin abandono, esa es exactamente la idea aquí. De alguna manera, los piratas informáticos (expertos en seguridad) más expertos y de élite sondean su aplicación, y si encuentran algo, son recompensados.
Hay dos formas de hacerlo: 1) alojar una recompensa por errores por su cuenta; 2) usando una plataforma de recompensas por errores.
Bug Bounty: autohospedado frente a plataformas
¿Por qué te tomarías la molestia de seleccionar (y pagar) una plataforma de recompensas por errores cuando simplemente puedes alojarla por tu cuenta? Quiero decir, solo crea una página con los detalles relevantes y haz algo de ruido en las redes sociales. Obviamente no puede fallar, ¿verdad?
Bueno, esa es una buena idea, pero mírala desde la perspectiva del hacker. Luchar por los errores no es una tarea fácil, ya que requiere varios años de capacitación, un conocimiento prácticamente ilimitado de cosas nuevas y viejas, toneladas de determinación y más creatividad que la mayoría de los “diseñadores visuales” (lo siento, ¡no pude resistirme a eso! :-PAG).
El hacker no sabe quién es usted o no está seguro de que vaya a pagar. O tal vez, no está motivado. Las recompensas autohospedadas funcionan para gigantes como Google, Apple, Facebook, etc., cuyos nombres la gente puede poner en su cartera con orgullo. "Encontré una vulnerabilidad de inicio de sesión crítica en la aplicación HRMS desarrollada por XYZ Tech Systems" no suena impresionante, ¿verdad (¡con las debidas disculpas a cualquier empresa que pueda parecerse a este nombre!).
Luego hay otras razones prácticas (y abrumadoras) para no ir solo cuando se trata de recompensas de errores.
Falta de infraestructura
Los "hackers" de los que hemos estado hablando no son los que acechan a la Dark Web.
Esos no tienen tiempo ni paciencia para nuestro mundo "civilizado". En cambio, estamos hablando aquí de investigadores con experiencia en informática que están en una universidad o han sido cazarrecompensas durante mucho tiempo. Estas personas quieren y envían información en un formato específico, lo cual es una molestia en sí mismo para acostumbrarse.
Incluso sus mejores desarrolladores tendrán dificultades para mantenerse al día y el costo de oportunidad puede resultar demasiado alto.
Resolución de envíos
Finalmente, está la cuestión de la prueba. El software puede estar construido sobre reglas completamente deterministas, pero exactamente cuándo se cumple un requisito en particular es tema de debate. Tomemos un ejemplo para entenderlo mejor.
Suponga que creó una recompensa por errores de autenticación y autorización. Es decir, afirma que su sistema está libre de riesgos de suplantación de identidad, que los piratas informáticos tienen que subvertir.
Ahora, el hacker ha encontrado una debilidad basada en cómo funciona un navegador en particular, lo que les permite robar el token de sesión de un usuario y hacerse pasar por él.
¿Es un hallazgo válido?
Desde la perspectiva del hacker, definitivamente, una infracción es una infracción. Desde su perspectiva, tal vez no, porque o cree que esto cae en el dominio de la responsabilidad del usuario o que el navegador simplemente no es una preocupación para su mercado objetivo.
Si todo este drama estuviera sucediendo en una plataforma de recompensas por errores, habría árbitros capaces de decidir el impacto del descubrimiento y cerrar el problema.
Dicho esto, echemos un vistazo a algunas de las plataformas de recompensas de errores más populares que existen.
YesWeHack
YesWeHack es una plataforma global de recompensas de errores que ofrece divulgación de vulnerabilidades y seguridad de colaboración colectiva en muchos países, como Francia, Alemania, Suiza y Singapur. Proporciona una solución disruptiva de Bug Bounty para hacer frente a las amenazas que aumentan con el aumento de la agilidad empresarial donde las herramientas tradicionales ya no cumplen con las expectativas.
YesWeHack le permite acceder al grupo virtual de piratas informáticos éticos y maximizar las capacidades de prueba. Seleccione los cazadores que desee y envíe los alcances para que se prueben o compártalos con la comunidad YesWeHack. Sigue algunas regulaciones y estándares estrictos para salvaguardar los intereses de los cazadores y los suyos.
Mejore la seguridad de su aplicación aprovechando la capacidad de respuesta del cazador y minimice el tiempo de reparación y detección de vulnerabilidades. Podrá ver la diferencia una vez que inicie el programa.
Open Bug Bounty
¿Está pagando de más por los programas de recompensas por errores?
Intente Recompensa por error abierto para pruebas de seguridad de multitudes.
Esta es una plataforma de recompensas de errores impulsada por la comunidad, abierta, gratuita y sin intermediarios. Además, ofrece divulgación de vulnerabilidades responsable y coordinada compatible con ISO 29147. Hasta la fecha, ha ayudado a corregir más de 641k vulnerabilidades.
Investigadores de seguridad y profesionales de sitios líderes como WikiHow, Twitter, Verizon, IKEA, MIT, Berkeley University, Philips, Yamaha y más han utilizado la plataforma Open Bug Bounty para resolver sus problemas de seguridad, como vulnerabilidades XSS, Inyecciones SQL, etc. Puede encontrar profesionales altamente capacitados y receptivos para hacer su trabajo rápidamente.
Hackerone
Entre los programas de recompensas por errores, gran pirata informático es el líder cuando se trata de acceder a los piratas informáticos, crear sus programas de recompensas, correr la voz y evaluar las contribuciones.
Hay dos formas de utilizar Hackerone: utilizar la plataforma para recopilar informes de vulnerabilidad y resolverlos usted mismo o dejar que los expertos de Hackerone hagan el trabajo duro (clasificación). La clasificación es simplemente el proceso de compilar informes de vulnerabilidad, verificarlos y comunicarse con los piratas informáticos.
Hackerone es utilizado por grandes nombres como Google Play, PayPal, GitHub, Starbucks y similares, así que, por supuesto, es para aquellos que tienen errores graves y bolsillos graves. 😉
Bugcrowd
Bugcrowd ofrece varias soluciones para evaluaciones de seguridad, una de ellas es Bug Bounty. Proporciona una solución SaaS que se integra fácilmente en el ciclo de vida de su software existente y hace que sea muy fácil ejecutar un programa exitoso de recompensas de errores.
Puede elegir tener un programa privado de recompensas por errores que involucre a unos pocos piratas informáticos seleccionados o uno público que recurra a miles de personas.
Asesor de seguridad dedicado, perfiles de piratas informáticos detallados, participación solo por invitación: todo se proporciona según sus necesidades y la madurez de su modelo de seguridad.
Intigriti
intigriti es una plataforma completa de recompensas de errores que lo conecta con piratas informáticos de sombrero blanco, ya sea que desee ejecutar un programa privado o público.
Para los piratas informáticos, hay muchas recompensas agarrar. Dependiendo del tamaño de la empresa y la industria, se encuentran disponibles búsquedas de errores que van desde € 1,000 a € 20,000.
Synack
Synack parece ser una de esas excepciones del mercado que rompen el molde y terminan haciendo algo masivo. Su programa de seguridad Hackear el pentágono fue lo más destacado, lo que llevó al descubrimiento de varias vulnerabilidades críticas.
Entonces, si está buscando no solo el descubrimiento de errores, sino también orientación y capacitación en seguridad al nivel superior, Sinack es el camino a seguir.
Conclusión
Así como se mantenga alejado de los curanderos que proclaman “curas milagrosas”, manténgase alejado de cualquier sitio web o servicio que diga que la seguridad a prueba de balas es posible. Todo lo que podemos hacer es dar un paso más hacia el ideal. Como tal, no se debe esperar que los programas de recompensas por errores produzcan aplicaciones sin errores, pero deben verse como una estrategia esencial para eliminar los realmente desagradables.
Mire este pequeño curso de caza de recompensas de errores para aprender y ganar fama, recompensas y reconocimiento.
Obtenga más información sobre las Los programas de recompensas por errores más grandes del mundo..
¡Espero que elimines muchos de ellos! 🙂
