BLOG

Bug Bounty Parte 1

Los programas “Bug bounty” son patrocinados por compañías y consisten en que si alguien encuentra un “bug” en una aplicación, software, etc. y lo reporta a la compañía será recompensado con dinero. Generalmente las cantidades van de 100 USD hasta miles de dolares.

Actualmente se han pagado cantidades importantes, por ejemplo, Facebook ha pagado hasta $33,500 USD (nota), Microsoft $100,000 USD (nota), etc. $10,000 USD ya es una cantidad interesante, en especial si es por un trabajo realizado por hobby, en tiempo libre y lo más importante es dinero honesto.

¿Y cuánto me pagan de que depende? Depende de los criterios de las empresas, de que tan crítica sea la vulnerabilidad y de los fondos de su programa. Por ejemplo por años Yahoo! No tuvo un programa oficial de “Bug Bounty”, de hecho el equipo de seguridad era pequeño. Te mandaban un correo agradeciéndote, podían mandar un carta formal y te regalaban una playera. Sí, podías encontrar una vulnerabilidad buenísima y te ganabas una playera… Actualmente ya existe un programa formal y explican porque se hacía eso (Resulta que la persona que recibía y arreglaba los bugs compraba la playera con su dinero y era solo un detalle; Yahoo! No hacía nada formal. Nota)

Beneficios

¿Cuales son los beneficios de tener uno de estos programas? Son muchos. Como empresa ofreces un camino para aquellas personas que encuentran algo en tu sitio. Muchas veces no lo estaban buscando, pero ya que una persona sabe de seguridad, conoce ciertas cosas, herramientas, etc. es difícil navegar por un sitio y no ver eso. Claro, algunas pruebas requieren varios intentos, pero no se hace con malicia es simple curiosidad.

Y el beneficio obvio es que tu página, software, aplicación, etc. será más segura. La vulnerabilidad allí esta. El que alguien te la señale solo te ayuda. Es como si tienes una fuga en la tubería de tu casa. Si el vecino, un amigo o un extraño te dice que la tienes, ellos no la hicieron, la vieron y te avisaron para que tomes acciones y evites problemas en un futuro.

El programa también tiene ventajas para las personas, yo diría que las principales son: Reconocimiento (Ya sea a través de un correo bien redactado, una carta formal para el empleador de la persona, publicación del nombre en un blog, etc.), Satisfacción (El saber que ayudaste a alguien/algo a ser mejor, sobre todo para cosas ó servicios que usas) y Económico (Creo que a nadie le caen mal un par de dolares). Aunque me gustaría mencionar que no creo exista una persona que participe en estos programas solo por la motivación económica, ya que cualquier vulnerabilidad en el mercado negro vale mucho mucho más de lo que te pagan los programas (Aunque claro, es ilegal).

El proceso

 Reportar una vulnerabilidad generalmente sigue un proceso. Proceso que varia para cada empresa, y generalmente los describen en una página. Algunos ejemplos son: Facebook, Microsoft, Apple, Twitter, Netflix.

En general los pasos que se deben de seguir, una vez identificada una vulnerabilidad, son:

1) Reportar. Las empresas tienen un correo dedicado al programa o que va a su equipo de seguridad. Es buena práctica encriptar el contenido del correo usando PGP. Generalmente publican sus llaves públicas, y si la vulnerabilidad es muy delicada, sería apropiado solicitarla aunque no la publiquen.

Open Security Foundation publicó un documento que te puede orientar para reportar una vulnerabilidad.

2) Esperar. En este momento el equipo identificará la falla y la arreglara. Posteriormente se comunicarán contigo. Entre más detallado sea tu correo de reporte más rápido y sencillo será encontrar la falla que mencionas.

Depende la empresa algunos te piden que no publiques tu encuentro (a pesar de estar solucionado), otras empresas solo te piden que esperes a que quede solucionado al 100%. Lo ético es esperar.

Existe un debate de que hacer si no te hacen caso. Algunas personas opinan que la única forma de hacer que las empresas se comprometan y reaccionen es publicando las vulnerabilidades. Otras personas creen que no es correcto porque esa información puede ser usada con malicia. En lo personal creo que lo correcto es avisar, esperar un tiempo prudente (depende la vulnerabilidad unas semanas a meses; generalmente un mes es buen tiempo) y si no recibes respuesta, pues publicar tu trabajo (obviamente usando tu buen criterio). ¿Cuál es su opinión?

Si te interesa más puedes visitar https://bugcrowd.com/list-of-bug-bounty-programs/.

¿Y en México?

En México no existe una cultura fuerte de seguridad informática. He buscado dichos programas en las páginas web de empresas mexicanas de varios sectores. No he encontrado nada. Mandé correos a más de 20 empresas mexicanas preguntado del programa, en el siguiente artículo publicaré si tuve alguna respuesta.

Las únicas que encontré fueron de empresas como PayPal, Microsoft, etc. que tienen operaciones en varios países.

Un detalle interesante es el cómo se percibe este tema. Desafortunadamente existe gente o instituciones que toman el aviso de una vulnerabilidad como una agresión y eso hace el investigador no tenga ganas de avisarles (aunque la vulnerabilidad esta allí, te avisen o no).

TAGS > , , , , , ,

Sorry, the comment form is closed at this time.