A lo largo de los años, encontrar errores en software, aplicaciones y servicios en línea populares se ha convertido en un negocio bastante lucrativo para los piratas informáticos emprendedores. De hecho, algunos de estos hackers e investigadores de seguridad incluso se han hecho millonarios a través de programas de recompensas por errores. Además de cobrar por descubrir vulnerabilidades, su trabajo ayuda a algunas de las empresas más grandes del mundo a mejorar la seguridad de sus productos para proteger mejor a sus usuarios.

La plataforma de recompensas por errores de HackerOne conecta a estas empresas con piratas informáticos éticos de todo el mundo. Para obtener más información sobre cómo comenzó la empresa y los diversos errores descubiertos por su comunidad a lo largo de los años, LaComparacion Pro habló con el CTO de HackerOne, Alex Rice.

HackerOne Early Days

(Crédito de la imagen: MSNBC)

¿Qué llevó a la creación de HackerOne en 2012?

Las organizaciones de todas las formas y tamaños ahora utilizan la seguridad de los piratas informáticos, pero no siempre fue así.

Antes de HackerOne, era responsable de la seguridad del producto en Facebook. Una de las cosas más efectivas que hicimos fue decirles a los piratas informáticos: «Queremos su ayuda. Encuentre un error, encuentre una vulnerabilidad, avísenos y lo recompensaremos». Luego, el programa gastó más de € 10 millones y mejoró la seguridad del producto más de lo que nadie podría haber imaginado.

Avance rápido hasta hoy y HackerOne es la plataforma de seguridad basada en piratas informáticos más exitosa del mundo. Más de 2.000 organizaciones se han unido a la comunidad de piratas informáticos para descubrir más de 181.000 vulnerabilidades verificadas. Estos piratas informáticos han recibido más de 100 millones de dólares por hacer de Internet un lugar más seguro.

¿Cómo ha influido su experiencia como ingeniero de seguridad e investigador en el trabajo que realiza hoy como CTO de HackerOne?

En HackerOne, soy responsable de desarrollar nuestra visión tecnológica, impulsar los esfuerzos de ingeniería y asesorar a los clientes sobre el desarrollo de programas de seguridad de clase mundial. Me impulsa sobre todo la creencia de que la tecnología puede mejorar nuestras vidas. Pero los desafíos fundamentales de seguridad y privacidad a menudo nos detienen. Necesitamos tecnología confiable y mi experiencia como investigadora individual me ha enseñado que nunca lo haremos solos. Necesitamos que millones de nosotros trabajemos juntos, revelando las lecciones aprendidas y presionando a cada uno de nosotros para mejorar.

¿Qué impacto cree que ha tenido su plataforma en la forma en que se identifican e informan las vulnerabilidades?

En HackerOne, trabajamos en asociación con la comunidad global de hackers, para asegurarnos de que las organizaciones estén al tanto de cualquier problema de seguridad antes de que sean explotados por delincuentes. La increíble creatividad, diversidad y persistencia que se encuentra dentro de esta comunidad única garantiza que las organizaciones sean mucho más seguras de lo que estarían por sí mismas y que las personas que dependen de ellas estén más seguras.

También ofrecemos diversos programas y opciones a nuestros clientes, asegurándoles el mejor soporte posible, cuando lo necesiten. Es importante que las empresas no solo sepan dónde se encuentran los riesgos, sino que las vulnerabilidades se pueden gestionar y corregir. En HackerOne, los clientes pueden elegir entre una variedad de soluciones disponibles, desde pentesting hasta recompensas de errores públicos y privados, y lo más importante, programas de divulgación de vulnerabilidades.

codificación

(Crédito de la imagen: Shutterstock / Gorodenkoff)

¿Puede contarnos más sobre la base de datos de vulnerabilidades de su empresa y cómo rastrea todos los errores enviados por los investigadores de seguridad?

Mantenemos la base de datos de vulnerabilidades más grande y confiable de la industria, y nuestro programa de recompensas alienta a nuestra comunidad de piratas informáticos a identificar y enviar informes de vulnerabilidad en todo, desde sitios web, API, aplicaciones móviles, dispositivos de hardware. y una gama cada vez más diversa y amplia de superficies de ataque. .

En cuanto a cómo rastreamos, hay un proceso claro que deben seguir nuestros piratas informáticos. Una vez que se registran para obtener una cuenta de HackerOne, pueden buscar un programa participante y comenzar a piratear. Si encuentran una vulnerabilidad, entonces usan el directorio HackerOne para encontrar la mejor manera de contactar a la organización y enviar un informe. Luego, la empresa revisará el contenido y recompensará los resultados válidos.

De los diez tipos de vulnerabilidad más impactantes y galardonados del nuevo informe de HackerOne, ¿cuál considera que es la mayor amenaza para las organizaciones en la actualidad y por qué?

Vulnerabilidades de las secuencias de comandos entre sitios (XSS). Este es el segundo año consecutivo en que encabezan nuestra lista, ya que continúan siendo una amenaza importante para las aplicaciones web y representan el 18% de todas las vulnerabilidades reportadas. Los atacantes aprovechan los ataques XSS y toman el control de la cuenta de un usuario para robar información personal como contraseñas, números de cuentas bancarias, detalles de tarjetas de crédito, etc. Nuestros clientes otorgaron más de US € 4.2 millones en bonos totales, un 26% más que en 2019.

Las vulnerabilidades comunes, como XSS, a menudo son descartadas por los RSSI aficionados a perseguir la ‘amenaza del día’, pero los piratas informáticos nos muestran constantemente que estas mejores prácticas pasadas por alto continúan siendo una de las formas más efectivas de comprometer los datos. personal.

¿Qué tipo de vulnerabilidades le interesan más?

Por ahora, estoy interesado en ver qué sucede con las vulnerabilidades de la falsificación de solicitudes del lado del servidor (SSRF) que se están volviendo más frecuentes a medida que se realizan las migraciones a la nube. Históricamente, los errores de SSRF han sido bastante leves, ya que solo permitían el escaneo de la red interna y, a veces, el acceso a los paneles de administración internos. Pero en esta era de rápida transformación digital, la llegada de la arquitectura en la nube y los puntos finales de metadatos desprotegidos ha hecho que estas vulnerabilidades sean cada vez más críticas.

Dos personas trabajando en una computadora portátil

(Crédito de la imagen: Pexels)

¿Qué consejo le daría a una empresa que busca implementar un programa de recompensas por errores por primera vez?

Gateando, caminando, corriendo. Su negocio no tiene que dar un salto de cabeza. Las empresas pueden limitar la cantidad de piratas informáticos que participan en un programa privado. Utilice esta capacidad de lanzamiento de manera controlada para asegurarse de que tiene una política clara, la capacidad de clasificar y analizar las causas raíz de manera efectiva, y que está avanzando a un ritmo manejable para sus equipos de desarrollo. Correr demasiado rápido a menudo conduce a un impulso y al aplazamiento de la inversión necesaria en sus prácticas básicas de seguridad.

¿Cómo deberían las empresas decidir valorar en dólares la búsqueda de un error en particular?

Para comenzar, no pague por un error en particular. Comience con un programa de divulgación de vulnerabilidades que simplemente establezca un proceso para recibir vulnerabilidades de investigadores externos sin la promesa de una recompensa financiera.

A partir de ahí, comience con un pequeño programa privado en algunas de sus superficies de ataque más endurecidas. Nuestro equipo puede trabajar con usted para comparar la superficie de ataque elegida con nuestros datos de referencia para organizaciones similares con el objetivo de obtener una base de atención de la comunidad inicial antes de aumentar las recompensas a medida que crece su superficie. ‘ataque se endurece.

El valor monetario generalmente dependerá de la gravedad del error; cuanto más grave sea la vulnerabilidad, mayor será la recompensa. En nuestro reciente Informe de seguridad impulsado por piratas informáticos 2020, encontramos que la recompensa promedio por todas las vulnerabilidades, independientemente de su gravedad, fue de € 979.

Share This
A %d blogueros les gusta esto: