Programa de recompensas por errores

Ofertas ofrecidas por informar errores de software

Un programa de recompensas por errores es un acuerdo ofrecido por muchos sitios web, organizaciones y desarrolladores de software mediante el cual las personas pueden recibir reconocimiento y compensación ^{[1] [2]} por informar errores , especialmente aquellos relacionados con vulnerabilidades y exploits de seguridad . ^[3]

Estos programas permiten a los desarrolladores descubrir y resolver errores antes de que el público en general los conozca, lo que evita incidentes de abuso generalizado y violaciones de datos. Los programas de recompensas por errores han sido implementados por una gran cantidad de organizaciones, incluidas Mozilla , ^{[4] [5]} Facebook , ^[6] Yahoo!, [ ^7] Google , ^[8] Reddit , ^[9] Square , ^[10] Microsoft , ^{[11] [12]} y el programa de recompensas por errores de Internet. ^[13]

Las empresas fuera de la industria tecnológica, incluidas organizaciones tradicionalmente conservadoras como el Departamento de Defensa de los Estados Unidos , han comenzado a utilizar programas de recompensas por errores. ^[14] El uso de programas de recompensas por errores por parte del Pentágono es parte de un cambio de postura que ha visto a varias agencias del gobierno de los EE. UU. revertir el curso de amenazar a los piratas informáticos de sombrero blanco con recursos legales a invitarlos a participar como parte de un marco o política integral de divulgación de vulnerabilidades. ^[15]

Historia

En 1981, Hunter y Ready iniciaron el primer programa conocido de recompensas por errores para su sistema operativo Versatile Real-Time Executive . Cualquiera que encontrara y denunciara un error recibiría a cambio un Volkswagen Beetle ( también conocido como Bug). ^[16]

El 10 de octubre de 1995, Netscape Communications Corporation lanzó un programa de "recompensas por errores" para la versión beta de su navegador Netscape Navigator 2.0. ^{[17] [18] [19]}

Controversia sobre la política de divulgación de vulnerabilidades

En agosto de 2013, un estudiante palestino de informática denunció una vulnerabilidad que permitía a cualquiera publicar un vídeo en una cuenta arbitraria de Facebook. Según la comunicación por correo electrónico entre el estudiante y Facebook, intentó informar de la vulnerabilidad utilizando el programa de recompensas por errores de Facebook, pero los ingenieros de Facebook no lo entendieron. Más tarde, explotó la vulnerabilidad utilizando el perfil de Facebook de Mark Zuckerberg , lo que provocó que Facebook se negara a pagarle una recompensa. ^[20]

Una tarjeta de débito "White Hat" de Facebook, que se entregó a investigadores que informaron sobre errores de seguridad.

Facebook comenzó a pagar a los investigadores que encuentran y reportan errores de seguridad emitiéndoles tarjetas de débito personalizadas "White Hat" que pueden recargarse con fondos cada vez que los investigadores descubren nuevos fallos. "Los investigadores que encuentran errores y mejoras de seguridad son raros, y los valoramos y tenemos que encontrar formas de recompensarlos", dijo Ryan McGeehan, ex gerente del equipo de respuesta de seguridad de Facebook, a CNET en una entrevista. "Tener esta tarjeta negra exclusiva es otra forma de reconocerlos. Pueden presentarse en una conferencia y mostrar esta tarjeta y decir 'Hice un trabajo especial para Facebook'". ^[21] En 2014, Facebook dejó de emitir tarjetas de débito a los investigadores. ^{[ cita requerida ]}

En 2016, Uber sufrió un incidente de seguridad cuando un individuo accedió a la información personal de 57 millones de usuarios de Uber en todo el mundo. El individuo supuestamente exigió un rescate de 100.000 dólares para destruir los datos en lugar de publicarlos. En un testimonio ante el Congreso, el CISO de Uber indicó que la empresa verificó que los datos habían sido destruidos antes de pagar los 100.000 dólares. ^[22] El Sr. Flynn expresó su pesar por el hecho de que Uber no revelara el incidente en 2016. Como parte de su respuesta a este incidente, Uber trabajó con su socio HackerOne para actualizar sus políticas del programa de recompensas por errores para, entre otras cosas, explicar con más detalle la investigación y divulgación de vulnerabilidades de buena fe. ^[23]

Yahoo! fue duramente criticado por enviar camisetas de Yahoo! como recompensa a los investigadores de seguridad por encontrar y reportar vulnerabilidades de seguridad en Yahoo!, lo que desencadenó lo que se dio en llamar el T-shirt-gate . ^[24] High-Tech Bridge , una empresa de pruebas de seguridad con sede en Ginebra, Suiza, emitió un comunicado de prensa diciendo que Yahoo! ofrecía $12.50 en crédito por vulnerabilidad, que podría usarse para artículos de marca Yahoo, como camisetas, tazas y bolígrafos de su tienda. Ramses Martinez, director del equipo de seguridad de Yahoo, afirmó más tarde en una publicación de blog ^[25] que él estaba detrás del programa de recompensas con cupones, y que básicamente los había estado pagando de su propio bolsillo. Finalmente, Yahoo! lanzó su nuevo programa de recompensas por errores el 31 de octubre del mismo año, que permite a los investigadores de seguridad enviar errores y recibir recompensas de entre $250 y $15,000, dependiendo de la gravedad del error descubierto. ^[26]

De manera similar, cuando Ecava lanzó el primer programa conocido de recompensas por errores para ICS en 2013, ^{[27] [28]} fueron criticados por ofrecer créditos de tienda en lugar de efectivo, lo que no incentiva a los investigadores de seguridad. ^[29] Ecava explicó que el programa estaba destinado a ser inicialmente restrictivo y centrado en la perspectiva de seguridad humana para los usuarios de IntegraXor SCADA , su software ICS. ^{[27] [28]}

Algunos programas de recompensas por errores han sido criticados como herramientas para evitar que los investigadores de seguridad revelen públicamente vulnerabilidades, al condicionar la participación en programas de recompensas por errores, o incluso la concesión de un puerto seguro , a acuerdos abusivos de no divulgación . ^{[30] [31]}

Geografía

Aunque las solicitudes de recompensas por errores provienen de muchos países, un puñado de países tienden a enviar más errores y recibir más recompensas. Estados Unidos e India son los principales países desde los que los investigadores envían errores. ^[32] India, que tiene el primer o segundo mayor número de cazadores de errores del mundo, según el informe que se cite, ^[33] encabezó el Programa de recompensas por errores de Facebook con la mayor cantidad de errores válidos. ^[34] En 2017, India tuvo la mayor cantidad de envíos válidos al programa Whitehat de Facebook, seguido de Estados Unidos y Trinidad y Tobago . ^[34]

Programas destacados

En octubre de 2013, Google anunció un cambio importante en su Programa de recompensas por vulnerabilidades. Anteriormente, había sido un programa de recompensas por errores que cubría muchos productos de Google. Sin embargo, con el cambio, el programa se amplió para incluir una selección de aplicaciones y bibliotecas de software libre de alto riesgo , principalmente aquellas diseñadas para redes o para funcionalidades de sistema operativo de bajo nivel . Las presentaciones que Google considerara que se ajustaban a las pautas serían elegibles para recompensas que iban desde $500 a $3,133.70. ^{[35] [36]} En 2017, Google amplió su programa para cubrir vulnerabilidades encontradas en aplicaciones desarrolladas por terceros y puestas a disposición a través de Google Play Store. ^[37] El Programa de recompensas por vulnerabilidades de Google ahora incluye vulnerabilidades encontradas en productos de Google, Google Cloud, Android y Chrome, y recompensas de hasta $31,337. ^[38]

Microsoft y Facebook se asociaron en noviembre de 2013 para patrocinar The Internet Bug Bounty, un programa que ofrece recompensas por informar sobre ataques y vulnerabilidades en una amplia gama de software relacionado con Internet. ^[39] En 2017, GitHub y The Ford Foundation patrocinaron la iniciativa, que está gestionada por voluntarios de Uber, Microsoft, ^[40] Adobe, HackerOne, GitHub, NCC Group y Signal Sciences. ^[41] El software cubierto por el IBB incluye Adobe Flash , Python , Ruby , PHP , Django , Ruby on Rails , Perl , OpenSSL , Nginx , Apache HTTP Server y Phabricator . Además, el programa ofrecía recompensas por vulnerabilidades más amplias que afectaran a sistemas operativos y navegadores web de uso generalizado , así como a Internet en su conjunto. ^[42]

En marzo de 2016, Peter Cook anunció el primer programa de recompensas por errores del gobierno federal de Estados Unidos, el programa "Hack the Pentagon". ^[43] El programa funcionó del 18 de abril al 12 de mayo y más de 1400 personas enviaron 138 informes válidos únicos a través de HackerOne . En total, el Departamento de Defensa de Estados Unidos pagó 71 200 dólares. ^[44]

En 2019, la Comisión Europea anunció la iniciativa de recompensas por errores EU-FOSSA 2 para proyectos populares de código abierto , incluidos Drupal , Apache Tomcat , VLC , 7-zip y KeePass . El proyecto fue cofacilitado por la plataforma europea de recompensas por errores Intigriti y HackerOne y dio como resultado un total de 195 vulnerabilidades únicas y válidas. ^[45]

Open Bug Bounty es un programa de recompensas por errores de seguridad creado en 2014 que permite a las personas publicar vulnerabilidades de seguridad en sitios web y aplicaciones web con la esperanza de obtener una recompensa de los operadores de los sitios web afectados. ^[46]

Véase también

• Cazador de recompensas
• Industria de armas cibernéticas
• Cheque de recompensa Knuth (Programa de 1980)
• Mercado de exploits de día cero
• Recompensa por código abierto
• Sombrero blanco (seguridad informática)
• Cerodio

Referencias

1. "Informe de seguridad impulsado por hackers: quiénes son los hackers y por qué hackean, pág. 23" (PDF) . HackerOne. 2017. Consultado el 5 de junio de 2018 .
2. Ding, Aaron Yi; De Jesus, Gianluca Limon; Janssen, Marijn (2019). "Hackeo ético para impulsar la gestión de vulnerabilidades de IoT". Actas de la Octava Conferencia Internacional sobre Telecomunicaciones y Teledetección . Ictrs '19. Rodas, Grecia: ACM Press. págs. 49–55. arXiv : 1909.11166 . doi :10.1145/3357767.3357774. ISBN . 978-1-4503-7669-3.S2CID202676146  .​
3. Weulen Kranenbarg, Marleen; Holt, Thomas J.; van der Ham, Jeroen (19 de noviembre de 2018). "¡No maten al mensajero! Una perspectiva criminológica y de la ciencia informática sobre la divulgación coordinada de vulnerabilidades". Crime Science . 7 (1): 16. doi : 10.1186/s40163-018-0090-8 . ISSN  2193-7680. S2CID  54080134.
4. "Programa de recompensas por errores de seguridad de Mozilla". Mozilla . Consultado el 9 de julio de 2017 .
5. Kovacs, Eduard (12 de mayo de 2017). «Mozilla Revamps Bug Bounty Program». SecurityWeek . Consultado el 3 de agosto de 2017 .
6. "Información del programa Meta Bug Bounty". Facebook. nd . Consultado el 17 de octubre de 2023 .
7. "Programa de recompensas por errores de Yahoo!". HackerOne . Consultado el 11 de marzo de 2014 .
8. "Programa de recompensas por evaluación de vulnerabilidades" . Consultado el 11 de marzo de 2014 .
9. "Reddit - whitehat". Reddit . Consultado el 30 de mayo de 2015 .
10. "Programa de recompensas por errores de Square". HackerOne . Consultado el 6 de agosto de 2014 .
11. "Programas de recompensas de Microsoft". Programas de recompensas de Microsoft . Security TechCenter. Archivado desde el original el 21 de noviembre de 2013. Consultado el 2 de septiembre de 2016 .
12. Zimmerman, Steven (26 de julio de 2017). «Microsoft anuncia el programa de recompensas por errores de Windows y la extensión del programa de recompensas de Hyper-V». XDA Developers . Consultado el 3 de agosto de 2017 .
13. HackerOne. «Bug Bounties - Programas de recompensas por errores de código abierto» . Consultado el 23 de marzo de 2020 .
14. "El Pentágono se abrió a los piratas informáticos y solucionó miles de errores". Wired . 10 de noviembre de 2017 . Consultado el 25 de mayo de 2018 .
15. "Un marco para un programa de divulgación de vulnerabilidades para sistemas en línea". Unidad de Ciberseguridad, Sección de Delitos Informáticos y Propiedad Intelectual, División Penal, Departamento de Justicia de los Estados Unidos. Julio de 2017. Consultado el 25 de mayo de 2018 .
16. "El primer programa de recompensas por "bugs"". Twitter. 8 de julio de 2017. Consultado el 5 de junio de 2018 .
17. "Netscape anuncia Netscape Bugs Bounty con el lanzamiento de Netscape Navigator 2.0". Archivo de Internet. Archivado desde el original el 1 de mayo de 1997. Consultado el 21 de enero de 2015 .
18. "Bounty atrae a los cazadores de errores". CNET . 13 de junio de 1997 . Consultado el 17 de octubre de 2023 .
19. Friis-Jensen, Esben (11 de abril de 2014). «La historia de los programas de recompensas por errores». Cobalt.io . Archivado desde el original el 16 de marzo de 2020. Consultado el 17 de octubre de 2023 .
20. "Hackean página de Facebook de Zuckerberg para demostrar falla de seguridad". CNN. 20 de agosto de 2013. Consultado el 17 de noviembre de 2019 .
21. Mills, Elinor. "Tarjeta de débito de Facebook con sombrero blanco". CNET.
22. "Testimonio de John Flynn, director de seguridad de la información de Uber Technologies, Inc." (PDF) . Senado de los Estados Unidos. 6 de febrero de 2018. Consultado el 4 de junio de 2018 .
23. "Uber endurece la política de extorsión por recompensas por errores". Threat Post. 27 de abril de 2018. Consultado el 4 de junio de 2018 .
24. Osborne, Charlie. "Yahoo cambia su política de recompensas por errores tras el escándalo de las camisetas". ZDNet .
25. Martínez, Ramsés. "Soy yo quien envió la camiseta como agradecimiento". Yahoo Developer Network . Consultado el 2 de octubre de 2013 .
26. Martínez, Ramsés. "El programa Bug Bounty ya está disponible". Yahoo Developer Network . Consultado el 31 de octubre de 2013 .
27. Toecker, Michael (23 de julio de 2013). "Más información sobre el programa Bug Bounty de IntegraXor". Digital Bond . Consultado el 21 de mayo de 2019 .
28. Ragan, Steve (18 de julio de 2013). "SCADA vendor faces public backlash over bug bounty program" (Proveedor de SCADA enfrenta una reacción negativa del público por el programa de recompensas por errores). CSO . Consultado el 21 de mayo de 2019 .
29. Rashi, Fahmida Y. (16 de julio de 2013). "SCADA Vendor Bashed Over 'Pathetic' Bug Bounty Program" (Proveedor de SCADA criticado por el 'patético' programa de recompensas por errores). Security Week . Consultado el 21 de mayo de 2019 .
30. "La forma en que Zoom manejó la vulnerabilidad muestra el lado oscuro de las recompensas por errores". ProPrivacy.com . Consultado el 17 de mayo de 2023 .
31. Porup, JM (2 de abril de 2020). "Las plataformas de recompensas por errores compran el silencio de los investigadores y violan las leyes laborales, dicen los críticos". CSO Online . Consultado el 17 de mayo de 2023 .
32. "Informe Hacker 2019" (PDF) . HackerOne . Consultado el 23 de marzo de 2020 .
33. "Hay muchos cazadores de errores, pero el respeto por los hackers de sombrero blanco es escaso en India". Factor Daily. 8 de febrero de 2018. Archivado desde el original el 22 de octubre de 2019. Consultado el 4 de junio de 2018 .
34. "Facebook Bug Bounty 2017 Highlights: $880,000 Paid to Researchers" (Lo más destacado del programa de recompensas por errores de Facebook de 2017: $880,000 pagados a los investigadores). Facebook. 11 de enero de 2018. Consultado el 4 de junio de 2018 .
35. Goodin, Dan (9 de octubre de 2013). «Google ofrece premios en efectivo «leet» por actualizaciones de Linux y otros sistemas operativos». Ars Technica . Consultado el 11 de marzo de 2014 .
36. Zalewski, Michal (9 de octubre de 2013). "Más allá de las recompensas por vulnerabilidad". Blog de seguridad en línea de Google . Consultado el 11 de marzo de 2014 .
37. "Google lanzó un nuevo programa de recompensas por errores para erradicar vulnerabilidades en aplicaciones de terceros en Google Play". The Verge. 22 de octubre de 2017. Consultado el 4 de junio de 2018 .
38. "Programa de recompensas por evaluación de vulnerabilidades" . Consultado el 23 de marzo de 2020 .
39. Goodin, Dan (6 de noviembre de 2013). "Ahora existe un programa de recompensas por errores para todo Internet". Ars Technica . Consultado el 11 de marzo de 2014 .
40. Abdulridha, Alaa (18 de marzo de 2021). "Cómo hackeé Facebook: segunda parte". infosecwriteups . Consultado el 18 de marzo de 2021 .
41. "Facebook, GitHub y la Fundación Ford donan 300.000 dólares a un programa de recompensas por errores para la infraestructura de Internet". VentureBeat. 21 de julio de 2017. Consultado el 4 de junio de 2018 .
42. "The Internet Bug Bounty" (La recompensa por errores en Internet). HackerOne . Consultado el 11 de marzo de 2014 .
43. "El Departamento de Defensa invita a especialistas examinados a 'piratear' el Pentágono". DEPARTAMENTO DE DEFENSA DE LOS ESTADOS UNIDOS . Consultado el 21 de junio de 2016 .
44. "Divulgación de vulnerabilidades para Hack the Pentagon". HackerOne . Consultado el 21 de junio de 2016 .
45. "EU-FOSSA 2 - Resumen de recompensas por errores" (PDF) .
46. Dutta, Payel (19 de febrero de 2018). "Open Bug Bounty: 100,000 vulnerabilidades corregidas e ISO 29147". TechWorm . Consultado el 10 de abril de 2023 .