Programa de recompensas por errores

Ofertas ofrecidas para informar errores de software

Un programa de recompensas por errores es un acuerdo ofrecido por muchos sitios web, organizaciones y desarrolladores de software mediante el cual las personas pueden recibir reconocimiento y compensación ^{[1] [2]} por informar errores , especialmente aquellos relacionados con vulnerabilidades y vulnerabilidades de seguridad . ^[3]

Estos programas permiten a los desarrolladores descubrir y resolver errores antes de que el público en general los conozca, evitando incidentes de abuso generalizado y violaciones de datos. Un gran número de organizaciones han implementado programas de recompensas por errores, entre ellos Mozilla , ^{[4] [5]} Facebook , ^[6] Yahoo! , ^[7] Google , ^[8] Reddit , ^[9] Square , ^[10] Microsoft , ^{[11] [12]} y la recompensa por errores de Internet. ^[13]

Empresas ajenas a la industria tecnológica, incluidas organizaciones tradicionalmente conservadoras como el Departamento de Defensa de los Estados Unidos , han comenzado a utilizar programas de recompensas por errores. ^[14] El uso por parte del Pentágono de programas de recompensas por errores es parte de un cambio de postura que ha visto a varias agencias gubernamentales de EE. UU. cambiar de rumbo y pasar de amenazar a los hackers de sombrero blanco con recursos legales a invitarlos a participar como parte de un marco o política integral de divulgación de vulnerabilidades. ^[15]

Historia

Hunter y Ready iniciaron el primer programa de recompensas por errores conocido en 1981 para su sistema operativo Versatile Real-Time Executive . Cualquiera que encontrara y reportara un error recibiría a cambio un Volkswagen Beetle ( también conocido como Bug). ^[dieciséis]

El 10 de octubre de 1995, Netscape Communications Corporation lanzó un programa "Bugs Bounty" para la versión beta de su navegador Netscape Navigator 2.0. ^{[17] [18] [19]}

Controversia sobre la política de divulgación de vulnerabilidades

En agosto de 2013, un estudiante palestino de informática informó de una vulnerabilidad que permitía a cualquiera publicar un vídeo en una cuenta arbitraria de Facebook. Según la comunicación por correo electrónico entre el estudiante y Facebook, intentó informar la vulnerabilidad utilizando el programa de recompensas por errores de Facebook, pero los ingenieros de Facebook malinterpretaron al estudiante. Posteriormente aprovechó la vulnerabilidad utilizando el perfil de Facebook de Mark Zuckerberg , lo que provocó que Facebook se negara a pagarle una recompensa. ^[20]

Una tarjeta de débito "White Hat" de Facebook, que fue entregada a investigadores que informaron errores de seguridad

Facebook comenzó a pagar a los investigadores que encuentran e informan errores de seguridad emitiéndoles tarjetas de débito personalizadas con la marca "White Hat" que pueden recargarse con fondos cada vez que los investigadores descubren nuevos fallos. "Los investigadores que encuentran errores y mejoras de seguridad son raros, los valoramos y tenemos que encontrar formas de recompensarlos", dijo a CNET Ryan McGeehan, ex gerente del equipo de respuesta de seguridad de Facebook, en una entrevista. "Tener esta tarjeta negra exclusiva es otra forma de reconocerlos. Pueden presentarse en una conferencia, mostrar esta tarjeta y decir 'Hice un trabajo especial para Facebook'". ^[21] En 2014, Facebook dejó de emitir tarjetas de débito a los investigadores.

En 2016, Uber experimentó un incidente de seguridad cuando un individuo accedió a la información personal de 57 millones de usuarios de Uber en todo el mundo. El individuo supuestamente exigió un rescate de 100.000 dólares para destruir los datos en lugar de publicarlos. En un testimonio ante el Congreso, el CISO de Uber indicó que la empresa verificó que los datos habían sido destruidos antes de pagar los 100.000 dólares. ^[22] El Sr. Flynn lamentó que Uber no revelara el incidente en 2016. Como parte de su respuesta a este incidente, Uber trabajó con su socio HackerOne para actualizar las políticas de su programa de recompensas por errores para, entre otras cosas, explicar más detalladamente la buena fe. investigación y divulgación de vulnerabilidades. ^[23]

Yahoo! fue severamente criticado por enviar Yahoo! Camisetas como recompensa a los investigadores de seguridad por encontrar e informar vulnerabilidades de seguridad en Yahoo!, lo que provocó lo que se conoció como T-shirt-gate . ^[24] High-Tech Bridge , una empresa de pruebas de seguridad con sede en Ginebra, Suiza, emitió un comunicado de prensa diciendo que Yahoo! Ofreció 12,50 dólares en crédito por vulnerabilidad, que podría usarse para comprar artículos de la marca Yahoo, como camisetas, tazas y bolígrafos de su tienda. Ramsés Martínez, director del equipo de seguridad de Yahoo, afirmó más tarde en una publicación de blog ^[25] que él estaba detrás del programa de recompensa de vales y que básicamente los había estado pagando de su propio bolsillo. Finalmente, Yahoo! lanzó su nuevo programa de recompensas por errores el 31 de octubre del mismo año, que permite a los investigadores de seguridad enviar errores y recibir recompensas entre $250 y $15,000, dependiendo de la gravedad del error descubierto. ^[26]

De manera similar, cuando Ecava lanzó el primer programa conocido de recompensas por errores para ICS en 2013, ^{[27] [28]} fueron criticados por ofrecer créditos de tienda en lugar de efectivo, lo que no incentiva a los investigadores de seguridad. ^[29] Ecava explicó que el programa estaba destinado a ser inicialmente restrictivo y centrado en la perspectiva de seguridad humana para los usuarios de IntegraXor SCADA , su software ICS. ^{[27] [28]}

Algunos programas de recompensas por errores han sido criticados como herramientas para evitar que los investigadores de seguridad revelen públicamente vulnerabilidades, condicionando la participación a recompensas por errores o incluso otorgando puerto seguro , a acuerdos abusivos de no divulgación . ^{[30] [31]}

Geografía

Aunque las solicitudes de recompensas por errores provienen de muchos países, unos pocos países tienden a enviar más errores y recibir más recompensas. Estados Unidos y la India son los principales países desde los que los investigadores envían errores. ^[32] India, que tiene el primer o segundo mayor número de cazadores de errores en el mundo, dependiendo del informe que se cite, ^[33] encabezó el programa Bug Bounty de Facebook con el mayor número de errores válidos. ^[34] En 2017, India tuvo el mayor número de envíos válidos al programa Whitehat de Facebook, seguida de Estados Unidos y Trinidad y Tobago . ^[34]

Programas notables

En octubre de 2013, Google anunció un cambio importante en su programa de recompensa por vulnerabilidad. Anteriormente, había sido un programa de recompensas por errores que cubría muchos productos de Google. Sin embargo, con el cambio, el programa se amplió para incluir una selección de bibliotecas y aplicaciones de software gratuitas de alto riesgo , principalmente aquellas diseñadas para redes o para funcionalidad de sistema operativo de bajo nivel . Los envíos que Google considerara que cumplían con las pautas serían elegibles para recompensas que oscilarían entre $ 500 y $ 3133,70. ^{[35] [36]} En 2017, Google amplió su programa para cubrir las vulnerabilidades encontradas en aplicaciones desarrolladas por terceros y disponibles a través de Google Play Store. ^[37] El programa de recompensas por vulnerabilidades de Google ahora incluye vulnerabilidades encontradas en productos de Google, Google Cloud, Android y Chrome, y recompensas de hasta 31 337 dólares. ^[38]

Microsoft y Facebook se asociaron en noviembre de 2013 para patrocinar The Internet Bug Bounty, un programa que ofrece recompensas por informar ataques y exploits para una amplia gama de software relacionado con Internet. ^[39] En 2017, GitHub y la Fundación Ford patrocinaron la iniciativa, que está gestionada por voluntarios de Uber, Microsoft, ^[40] Adobe, HackerOne, GitHub, NCC Group y Signal Sciences. ^[41] El software cubierto por IBB incluye Adobe Flash , Python , Ruby , PHP , Django , Ruby on Rails , Perl , OpenSSL , Nginx , Apache HTTP Server y Phabricator . Además, el programa ofrecía recompensas por exploits más amplios que afectaran a los sistemas operativos y navegadores web más utilizados , así como a Internet en su conjunto. ^[42]

En marzo de 2016, Peter Cook anunció el primer programa de recompensas por errores del gobierno federal de EE. UU., el programa "Hack the Pentagon". ^[43] El programa se desarrolló del 18 de abril al 12 de mayo y más de 1.400 personas enviaron 138 informes válidos únicos a través de HackerOne . En total, el Departamento de Defensa de Estados Unidos pagó 71.200 dólares. ^[44]

En 2019, la Comisión Europea anunció la iniciativa de recompensa por errores EU-FOSSA 2 para proyectos populares de código abierto , incluidos Drupal , Apache Tomcat , VLC , 7-zip y KeePass . El proyecto fue cofacilitado por la plataforma europea de recompensas por errores Intigriti y HackerOne y dio como resultado un total de 195 vulnerabilidades únicas y válidas. ^[45]

Open Bug Bounty es un programa de recompensas por errores de seguridad colectivo establecido en 2014 que permite a las personas publicar vulnerabilidades de seguridad de sitios web y aplicaciones web con la esperanza de obtener una recompensa de los operadores de sitios web afectados. ^[46]

Hackrate, una startup con sede en Europa, hace que las pruebas de ciberseguridad sean transparentes al proporcionar un enfoque de colaboración abierta para pruebas de seguridad continuas y la primera solución de la industria para controlar y monitorear proyectos de piratas informáticos éticos.

Ver también

• Cazarrecompensas
• Industria de armas cibernéticas
• Cheque de recompensa de Knuth (Programa en 1980)
• Mercado de exploits de día cero
• Recompensa de código abierto
• Sombrero blanco (seguridad informática)
• cerodio

Referencias

1. "Informe de seguridad impulsado por piratas informáticos: quiénes son los piratas informáticos y por qué lo hacen, p. 23" (PDF) . HackerOne. 2017 . Consultado el 5 de junio de 2018 .
2. Ding, Aaron Yi; De Jesús, Gianluca Limón; Janssen, Marijn (2019). "Hacking ético para impulsar la gestión de vulnerabilidades de IoT". Actas de la Octava Conferencia Internacional sobre Telecomunicaciones y Teledetección . TICRS '19. Rodas, Grecia: ACM Press. págs. 49–55. arXiv : 1909.11166 . doi :10.1145/3357767.3357774. ISBN 978-1-4503-7669-3. S2CID  202676146.
3. Weulen Kranenbarg, Marleen; Holt, Thomas J.; van der Ham, Jeroen (19 de noviembre de 2018). "¡No disparen al mensajero! Una perspectiva criminológica e informática sobre la divulgación coordinada de vulnerabilidades". Ciencia del crimen . 7 (1): 16. doi : 10.1186/s40163-018-0090-8 . ISSN  2193-7680. S2CID  54080134.
4. "Programa de recompensas por errores de seguridad de Mozilla". Mozilla . Consultado el 9 de julio de 2017 .
5. Kovacs, Eduard (12 de mayo de 2017). "Mozilla renueva el programa de recompensas por errores". Semana de la seguridad . Consultado el 3 de agosto de 2017 .
6. "Información del programa Meta Bug Bounty". Facebook. y nd . Consultado el 17 de octubre de 2023 .
7. "Programa de recompensas por errores de Yahoo!". HackerOne . Consultado el 11 de marzo de 2014 .
8. "Programa de recompensas por evaluación de vulnerabilidades" . Consultado el 11 de marzo de 2014 .
9. "Reddit - sombrero blanco". Reddit . Consultado el 30 de mayo de 2015 .
10. "Programa de recompensas por errores de Square". HackerOne . Consultado el 6 de agosto de 2014 .
11. "Programas de recompensas de Microsoft". Programas de recompensas de Microsoft . Centro técnico de seguridad. Archivado desde el original el 21 de noviembre de 2013 . Consultado el 2 de septiembre de 2016 .
12. Zimmerman, Steven (26 de julio de 2017). "Microsoft anuncia el programa de recompensas por errores de Windows y la extensión del programa de recompensas de Hyper-V". Desarrolladores XDA . Consultado el 3 de agosto de 2017 .
13. HackerOne. "Bug Bounties: programas de código abierto de recompensas por errores" . Consultado el 23 de marzo de 2020 .
14. "El Pentágono se abrió a los piratas informáticos y solucionó miles de errores". Cableado . 10 de noviembre de 2017 . Consultado el 25 de mayo de 2018 .
15. "Un marco para un programa de divulgación de vulnerabilidades para sistemas en línea". Unidad de Ciberseguridad, Sección de Delitos Informáticos y Propiedad Intelectual División Penal Departamento de Justicia de EE. UU. Julio de 2017 . Consultado el 25 de mayo de 2018 .
16. "El primer programa de recompensas por" errores "". Gorjeo. 8 de julio de 2017 . Consultado el 5 de junio de 2018 .
17. "Netscape anuncia Netscape Bugs Bounty con el lanzamiento de Netscape Navigator 2.0". Archivo de Internet. Archivado desde el original el 1 de mayo de 1997 . Consultado el 21 de enero de 2015 .
18. "La recompensa atrae a los cazadores de errores". CNET . 13 de junio de 1997 . Consultado el 17 de octubre de 2023 .
19. Friis-Jensen, Esben (11 de abril de 2014). "La historia de los programas de recompensas por errores". Cobalto.io . Archivado desde el original el 16 de marzo de 2020 . Consultado el 17 de octubre de 2023 .
20. "La página de Facebook de Zuckerberg fue pirateada para demostrar una falla de seguridad". CNN. 20 de agosto de 2013 . Consultado el 17 de noviembre de 2019 .
21. Molinos, Elinor. "Tarjeta de débito Facebook whitehat". CNET.
22. "Testimonio de John Flynn, director de seguridad de la información, Uber Technologies, Inc" (PDF) . Senado de los Estados Unidos. 6 de febrero de 2018 . Consultado el 4 de junio de 2018 .
23. "Uber refuerza la política de extorsión de recompensas por errores". Publicación de amenaza. 27 de abril de 2018 . Consultado el 4 de junio de 2018 .
24. Osborne, Charlie. "Yahoo cambia la política de recompensas por errores después de la entrada de camisetas'". ZDNet .
25. Martínez, Ramsés. "Así que soy el tipo que envió la camiseta como agradecimiento". Red de desarrolladores de Yahoo . Consultado el 2 de octubre de 2013 .
26. Martínez, Ramsés. "El programa Bug Bounty ya está disponible". Red de desarrolladores de Yahoo . Consultado el 31 de octubre de 2013 .
27. Toecker, Michael (23 de julio de 2013). "Más sobre el programa Bug Bounty de IntegraXor". Bono Digital . Consultado el 21 de mayo de 2019 .
28. Ragan, Steve (18 de julio de 2013). "El proveedor de SCADA enfrenta una reacción pública por el programa de recompensas por errores". OSC . Consultado el 21 de mayo de 2019 .
29. Rashi, Fahmida Y. (16 de julio de 2013). "Proveedor de SCADA criticado por el 'patético' programa de recompensas por errores". Semana de la Seguridad . Consultado el 21 de mayo de 2019 .
30. "La forma en que Zoom manejó la vulnerabilidad muestra el lado oscuro de las recompensas por errores". ProPrivacidad.com . Consultado el 17 de mayo de 2023 .
31. Porup, JM (2 de abril de 2020). "Las plataformas de recompensas por errores compran el silencio de los investigadores y violan las leyes laborales, dicen los críticos". OSC en línea . Consultado el 17 de mayo de 2023 .
32. "Informe sobre hackers de 2019" (PDF) . HackerOne . Consultado el 23 de marzo de 2020 .
33. "Abundan los cazadores de errores, pero el respeto por los piratas informáticos de sombrero blanco en la India es escaso". Factorizar diariamente. 8 de febrero de 2018 . Consultado el 4 de junio de 2018 .
34. "Aspectos destacados de Facebook Bug Bounty 2017: $ 880 000 pagados a investigadores". Facebook. 11 de enero de 2018 . Consultado el 4 de junio de 2018 .
35. Goodin, Dan (9 de octubre de 2013). "Google ofrece" pequeños "premios en efectivo por actualizaciones de Linux y otros sistemas operativos". Ars Técnica . Consultado el 11 de marzo de 2014 .
36. Zalewski, Michal (9 de octubre de 2013). "Ir más allá de las recompensas por la vulnerabilidad". Blog de seguridad en línea de Google . Consultado el 11 de marzo de 2014 .
37. "Google lanzó un nuevo programa de recompensas por errores para eliminar vulnerabilidades en aplicaciones de terceros en Google Play". El borde. 22 de octubre de 2017 . Consultado el 4 de junio de 2018 .
38. "Programa de recompensas por evaluación de vulnerabilidades" . Consultado el 23 de marzo de 2020 .
39. Goodin, Dan (6 de noviembre de 2013). "Ahora hay un programa de recompensas por errores para todo Internet". Ars Técnica . Consultado el 11 de marzo de 2014 .
40. Abdulridha, Alaa (18 de marzo de 2021). "Cómo hackeé Facebook: segunda parte". redacciones de seguridad de información . Consultado el 18 de marzo de 2021 .
41. "Facebook, GitHub y la Fundación Ford donan 300.000 dólares al programa de recompensas por errores para la infraestructura de Internet". VentureBeat. 21 de julio de 2017 . Consultado el 4 de junio de 2018 .
42. "La recompensa por errores de Internet". HackerOne . Consultado el 11 de marzo de 2014 .
43. "El Departamento de Defensa invita a especialistas examinados a 'piratear' el Pentágono". DEPARTAMENTO DE DEFENSA DE EE. UU . Consultado el 21 de junio de 2016 .
44. "Divulgación de vulnerabilidad para Hack the Pentagon". HackerOne . Consultado el 21 de junio de 2016 .
45. "EU-FOSSA 2 - Resumen de recompensas por errores" (PDF) .
46. Dutta, Payel (19 de febrero de 2018). "Open Bug Bounty: 100.000 vulnerabilidades corregidas e ISO 29147". Gusano tecnológico . Consultado el 10 de abril de 2023 .