Video: Soy demasiado viejo para aprender a programar (Noviembre 2024)
¿Qué obtienes cuando pones a algunos hackers en una habitación y les das una lista de sitios web objetivo? ¡Van a cazar insectos!
Eso fue lo que sucedió en Bug Bash 2013, un "hack-a-thon en Internet" dirigido por Bugcrowd en la conferencia AppSec USA en Nueva York a principios de esta semana. Aproximadamente 80 personas participaron en el transcurso de tres noches, y "cientos" participaron de forma remota a través de Internet, dijo Casey John Ellis, fundador y CEO de Bugcrowd. Los participantes enviaron los errores que identificaron a Bugcrowd, y el equipo replicó las condiciones previas al error para confirmar el problema.
La lista de objetivos incluía compañías como Facebook, Google, Etsy, Prezi y Yandex. Los probadores de seguridad que participaron identificaron más de 220 errores, dijo Ellis. En su mayor parte, los problemas eran de la variedad mundana de la rutina, incluidas algunas vulnerabilidades de inyección y derivación.
"Todavía no he oído hablar de vulnerabilidades exóticas, pero aún estamos analizando nuestros datos", dijo Ellis.
Bugcrowd planea publicar más detalles sobre el tipo de errores descubiertos e información sobre el evento en una fecha posterior. La startup con sede en San Francisco ejecuta programas donde grupos de personas trabajan juntos para encontrar errores en sitios web y aplicaciones. Una vez que confirma que los errores que se informan son legítimos, maneja el proceso de notificar a los proveedores apropiados.
Bug Bounties
Los programas de recompensas de errores se están volviendo cada vez más populares, ya que las empresas alientan a los investigadores a enviarles informes de errores directamente, en lugar de venderlos al gobierno u ofrecerles a los agentes de explotación. No informar el error al proveedor significa que el comprador puede usar estas vulnerabilidades para sus propios fines y deja a los usuarios desprotegidos de esa falla de software.
Mozilla y Google probablemente tienen los programas de recompensas de errores más conocidos, pero muchas otras compañías ahora ofrecen algún tipo de programa (una lista larga, pero no completa, está aquí). Facebook anunció en agosto que había pagado un millón de dólares en recompensas en los últimos dos años.
No todos los errores califican para estos programas. Por ejemplo, Facebook deja en claro que su programa solo cubre problemas que podrían "comprometer la integridad de los datos de los usuarios de Facebook, eludir las protecciones de privacidad de los datos de los usuarios de Facebook o permitir el acceso a un sistema dentro de la infraestructura de Facebook". Microsoft lanzó una serie de premios recientemente y fue muy específico en el tipo de problemas que estaba buscando.
Bug Bash 2013
Es difícil estimar en este momento cuánto valen en total los errores descubiertos como parte de Bug Bash, ya que los programas de recompensas varían mucho en cuanto a cuánto pagan. Algunos programas pagan varios cientos de dólares y otros pagan varios miles de dólares. También es importante tener en cuenta que cada compañía tiene reglas específicas sobre lo que reconocen como un error y qué tipos de problemas están cubiertos por el programa de recompensa de errores.
A pesar de que se enviaron 220 errores, depende del vendedor decidir si los problemas calificaron para un pago. E incluso si hay un pago, también depende del vendedor decidir la cantidad. Sin embargo, incluso si cada uno de los más de 200 errores valen solo unos pocos cientos de dólares, eso no es malo para unas pocas horas de trabajo durante tres días.
Los representantes de Facebook incluso estuvieron presentes durante los eventos para dar una idea de sus programas de recompensas de errores, así como para responder preguntas de los participantes.
Tom Brennan, miembro de la junta de la Fundación OWASP y uno de los organizadores de AppSec USA, visitó a personas que habían estado en sesiones de capacitación aprendiendo sobre diferentes técnicas. Las personas colaboraban mientras trabajaban en objetivos y pedían ayuda mutua. Encontrar errores no es un proceso automatizado, ya que realmente requiere que las personas piensen en lo que están viendo y que ajusten sus técnicas en consecuencia. Brennan dijo que un ambiente de colaboración donde las personas puedan intercambiar ideas entre sí puede ser "muy efectivo" para la caza de insectos.
