La búsqueda por la solución de oro en materia de seguridad informática ha llevado a las empresas a tomar medidas que en otras ocasiones no se habían observado para mantener sus aplicaciones lo más seguras posible. A los miles o incluso millones de dólares que las organizaciones invierten en diversas herramientas como firewalls, IDS/IPS, soluciones anti-DDoS, correlacionadores, HoneyPots, consultoría de pruebas de penetración, e incluso equipos completos dedicados a investigar las vulnerabilidades, se han sumado los programas de “bug bounty” como un elemento adicional para la defensa en profundidad.

 

Los programas de bug bounty exponen hacia la gran comunidad de seguridad informática las aplicaciones de las organizaciones, ofreciendo una recompensa a cambio de identificar errores o vulnerabilidades en estas, con el permiso explícito de la organización para intentar comprometerlas.

 

Estas actividades ofrecen múltiples ventajas en comparación con los procesos tradicionales de seguridad informática:

 

  • El pago único a cambio de la vulnerabilidad.
  • Diferente monto de remuneración según el tipo de error reportado.
  • No se necesita un contrato permanente entre la organización y el “cazarrecompensas”, ni ningún otro tipo de procedimiento adicional para el pago.
  • La organización no tiene que preocuparse por la gestión del programa, pues ya existen múltiples empresas que gestionan todos los procedimientos que la institución requiere para realizar un programa efectivo de bug bounty.
  • Al exponer las aplicaciones hacia la comunidad de seguridad informática es posible robustecer de manera significativa las aplicaciones, mucho más que con un equipo de aseguramiento de la calidad (QA) o incluso un hacker ético.

 

Muchas de las organizaciones más importantes en el mundo se están sumando a este tipo de programas; como ejemplos se pueden mencionar Apple, Facebook, Uber y Netgear, que han ofrecido programas de bug bounty por más $15,000 dólares.

 

¿Quién se opone a los bug bounties?

Comúnmente los equipos de seguridad informática prefieren restringir toda su información, creyendo que de esta manera pueden evitar ser comprometidos, por lo que es sencillo encontrar  organizaciones que prefieren mantener en lo más oculto el código o los módulos de su aplicación tanto de clientes externos como de los internos, incluso hasta de las mismas empresas consultoras que la organización ha contratado para analizarlas, colocando obstáculos importantes de comunicación entre áreas y analistas.

 

Este tipo de mentalidad suele ocasionar que las vulnerabilidades se identifiquen lentamente como resultado de la burocracia, falta de experiencia o conocimiento, así como la falta de recursos para analizar las aplicaciones, e incluso generar falta de interés por parte del equipo de ingenieros, ofreciendo más tiempo a los atacantes para que puedan descubrir, explotar o vender vulnerabilidades que incluso podrían ser críticas, poniendo en riesgo a la organización.

 

¡Los programas de bug bounty son flexibles!

Estos programas podrían generar en el cliente un sentimiento de riesgo, planteándose el cuestionamiento de “¿cómo voy a ofrecer mi programa a pruebas de penetración de externos?, podrían intentar comprometerme o robar mi información sin que lo note”. Es importante mencionar que esta es una impresión no del todo precisa, ya que los programas de bug bounty están respaldados por ciertos contratos temporales, incluso existen organizaciones, como HackerOne o BugCrowd, que ofrecen a las empresas interesadas todo lo necesario para la creación, reclutamiento y pago.

 

Los profesionales autorizados a vulnerar las aplicaciones no pueden vulnerar otra cosa que no sea lo explícitamente permitido por el programa; por ejemplo, una organización que tenga una aplicación de streaming de video disponible en ciertas plataformas, podría permitir únicamente las pruebas sobre la aplicación en Android y en iOS, o incluso solo sobre algunos módulos de la misma, tal como las aplicaciones que permiten ver películas, pero no permiten ver streaming en vivo, por mencionar algunas variantes.

 

Esta granularidad ofrece a las organizaciones armar correctamente el programa de bug bounty de la manera en que mejor les convenga, ya sea en sus activos más críticos, en aquellos que se encuentren relacionados directamente a la empresa, o incluso en todas sus aplicaciones.

 

¿Qué gano con ofrecer mi aplicación a la comunidad?

Un ejemplo de lo que se puede ganar con este tipo de programas es lo que sucede con los algoritmos criptográficos, que tradicionalmente han sido puestos al alcance de la comunidad para su análisis en busca de vulnerabilidades. Esta actividad ha permitido que algoritmos como AES, RSA o Diffie-Hellman sean considerados como seguros, los algoritmos han sido y continúan siendo revisados, auditados y analizados en múltiples ocasiones por los mejores criptoanalistas del mundo a fin de encontrar fallas. De la misma manera, las organizaciones deberían tener la confianza de ofrecer sus aplicaciones a la comunidad para revisión por parte de los mejores expertos en el mundo.

 

¿Necesito más soluciones si mi bug bounty mantiene mi sistema seguro?

Como en cualquier mecanismo de seguridad, no sustituyen a ninguna de las demás soluciones; por muy atractivo que pudiera sonar el hecho de que los mejores ingenieros del mundo se encuentran participando en ello, haciéndola cada vez más segura y mejor en cada revisión.

 

Los programas de bug bounty únicamente proveen protección a un vector de ataque relacionado con las vulnerabilidades que la aplicación en curso podría tener; a pesar de esto, y como en cualquier otro programa, es posible que conforme la tecnología y los programas avancen, los vectores de ataque cambien rápidamente.

 

Por otro lado, las soluciones de firewall, IDS/IPS, Honeypots, soluciones de DDoS, soluciones de DLP, antivirus, y sobre todo los programas de concientización, proveen solución a múltiples vectores de ataque que se encuentran bajo riesgo constante incluso sin que la organización se entere. Por ello estos programas deben siempre acompañarse de una estrategia adecuada de defensa en profundidad, que permita controlar los vectores de ataque que más preocupan a la organización. Es importante recordar que “las soluciones mágicas no existen”.

 

¿Cuánto debo ofrecer en un programa de bug bounty?

Las organizaciones deben plantear una estrategia adecuada para las recompensas, dependiendo de la criticidad de los activos. Por ejemplo, si los ingresos de la organización dependen de la aplicación que se intenta asegurar, el programa de recompensa debe ser alto para la aplicación mencionada, a fin de que a los ingenieros en el mundo les atraiga la recompensa, lo que resultará en la disminución del tiempo en el que los bugs son reportados.

 

Las organizaciones podrían basarse en las recompensas que ofrecen otras empresas. A continuación, presento una lista que incluye los cinco bug bounties más reconocidos por la empresa HackerOne, de acuerdo al sitio zdnet[.]com.

 

  • Pornhub: Fue identificado como el sitio que más errores ha reportado, el cual ha distribuido recompensas por al menos $150,420 dólares en reportes debido a fallas de seguridad en su sitio Web. La recompensa máxima que esta organización ha ofrecido es de $20,000 dólares.
  • LocalTapioca: El sitio finlandés de seguros tenía una recompensa máxima de $18,000 dólares por una falla crítica y hasta de $50,000 dólares para fallas críticas fuera de los parámetros del programa, y ofrecía todas sus aplicaciones a la comunidad para su revisión.
  • Twitter: Más de 365 hackers han enviado hasta 549 problemas de seguridad en la conocida plataforma de microblogueo; el monto máximo para el pago de un reporte ha sido la cantidad de $15,120 dólares. Twitter ha pagado en total $561,980 dólares a través de la plataforma HackerOne.
  • Snapchat: La plataforma de videoblogueo ha pagado a más de 125 investigadores de seguridad aproximadamente $70,000 dólares; a la fecha el pago mínimo por reporte de un bug ha sido de $100 dólares y el máximo de $15,000.
  • Uber: El programa de bug bounty de esta organización ha generado reportes sobre la posibilidad de recibir desde ataques de XSS hasta de ejecución remota de código; a la fecha los pagos máximos han sido de $10,000 dólares; sin embargo, el promedio es entre $759 a $1,000 dólares.

 

Conclusión

Los programas de bug bounty pueden ser una opción para mantener seguras las aplicaciones de una organización; como se puede observar en los ejemplos antes mencionados, no es necesario realizar programas millonarios para que la gente se interese. Adicionalmente, debido a la gran aceptación que ha generado este tipo de actividad, existen investigadores de seguridad informática que viven de los bug bounty mediante el ofrecimiento a la comunidad de mucha experiencia en el descubrimiento y reporte de fallas de seguridad, lo que brinda a los clientes confianza al acceder a su aplicación y un poco más de tranquilidad a las organizaciones que se preocupan por su seguridad y la de sus clientes.

 

[email protected]
 

Fuente

http://www.zdnet[.]com/article/a-look-at-the-top-hackerone-bug-bounties-of-2016/