Por qué Silicon Valley recurre a un grupo exclusivo de piratas informáticos para corregir su código

Usuario: Colin / Wikimedia Commons / CC BY-SA 4.0 / Via commons.wikimedia.org

Como alguaciles superados en armas en el Salvaje Oeste, las organizaciones, desde gigantes tecnológicos hasta agencias gubernamentales, se han convertido en los últimos años en cazarrecompensas para mantenerse a salvo. Estos mercenarios son piratas informáticos e investigadores de seguridad, a quienes las empresas pagan para encontrar y revelar fallas en su software y dispositivos. La práctica cada vez más aceptada se denomina sistema de 'recompensa por errores' y ofrece a los piratas informáticos una forma legítima de obtener recompensas por hacer que la tecnología sea más segura sin volverse deshonestos. Aún así, el proceso puede ser abrumador: ¿cómo pueden las empresas lograr el equilibrio adecuado entre lanzar sus productos a la piratería y mantener un control estricto sobre sus prácticas de seguridad?



Los programas tradicionales de recompensas de errores, como los que administra Microsoft, Twitter y docenas de otras organizaciones, están abiertos al público, lo que significa que cualquiera puede advertir sobre fallas de seguridad que crea haber encontrado. Pero estas recompensas de errores públicos a menudo incentivan demasiado, generando decenas de errores redundantes que pueden o no pertenecer a vulnerabilidades realmente dañinas. Estos pueden abrumar a las empresas que no están configuradas para manejarlos. Y cuando las empresas no están preparadas para manejar una gran cantidad de informes de errores, pueden pasar por alto o tener una respuesta retrasada a graves vulnerabilidades de seguridad.

Para lidiar con el problema, algunas organizaciones han decidido hacer que sus programas de recompensas de errores sean privados, lo que significa que solo ciertos piratas informáticos e investigadores pueden enviar errores. Esto ayuda a las organizaciones a desarrollar un programa público a lo largo del tiempo controlando la calidad y frecuencia de las presentaciones. Apple señaló las ventajas de las recompensas privadas cuando anunció su primera vez,privadoprograma de recompensas por errores la semana pasada en la conferencia de hackers DefCon. LinkedIn , Tor y una serie de otras entidades también mantienen cerrados sus programas, al menos por ahora. Según BugCrowd, una empresa que ofrece recompensas por errores para los clientes, el 63% de todos sus programas han comenzado como privados, una proporción que está creciendo. HackerOne, un competidor, recomienda programas privados a todos sus clientes.



'Invitar al mundo a que se presente puede ser un proceso abrumador y aterrador', dijo Jonathan Cran, vicepresidente de operaciones de BugCrowd. 'Tiene sentido que las empresas comiencen con personas de confianza'.



Y la confianza es un gran problema. Una de las razones por las que los programas de recompensas por errores tardaron tanto en ponerse de moda después de que Netscape ejecutara el primero en 1995 fue la percepción de que estos programas atraían la atención de piratas informáticos malintencionados. Entonces, no es sorprendente que la mayoría de las organizaciones comiencen sus recompensas de errores privados con un grupo de investigadores de seguridad con los que ya tienen una relación. Así es como funcionará el programa de Apple, que comienza en septiembre. Según Cran, el grupo inicial en un programa privado es generalmente entre 50 y 100 investigadores, aunque ha visto programas que se lanzan con tan solo dos. Además de garantizar un flujo manejable de informes pertinentes, comenzar poco a poco ayuda a las empresas a obtener una imagen general de dónde se encuentran las posibles vulnerabilidades. Es una forma en que las corporaciones que realizan recompensas por primera vez sumergen sus pies en el agua antes de salir a bolsa.

'Descubrirás que estás más seguro en algunas áreas de lo que pensabas y menos seguro en otras', dijo Alex Rice, director de tecnología y cofundador de HackerOne. 'Puede haber cosas de las que no eres consciente, como vulnerabilidades en el código no mantenido'. Determinar dónde y cuán prevalentes son estos problemas, según Rice, ayuda a las empresas a establecer precios competitivos y estandarizar la rapidez con la que tratan los informes de errores (que a veces es una fuente de tensión en los grandes programas de recompensas por errores ).

Las complicaciones de cerrar sus recompensas

Algunos han argumentado Sin embargo, esos programas indican a los piratas informáticos que tienen un tiempo limitado para encontrar y vender exploits en el lucrativo mercado privado. En otras palabras, que alientan a los piratas informáticos malintencionados a encontrar todos los exploits que puedan antes de que el programa se abra al público que busca errores.



'Cada uno que está arreglando, está borrando el valor de uno en el mercado negro', dijo Rice. Menos de una semana después del anuncio de Apple, una empresa de seguridad privada ofreció $ 500,000, el doble del tamaño de la recompensa más grande en el programa de Apple, para los exploits de día cero de iOS . (Aunque, enormes sumas para iOS zero-days no son nada nuevo.)

Otra complicación de los programas privados es que tienen el potencial de alienar a los investigadores. Uno de los principales beneficios de los programas de recompensas por errores es incentivar a las personas con la habilidad de piratear corporaciones y gobiernos para que utilicen esos talentos para el bien. Aunque muchas empresas, incluida Apple, probablemente aceptarían un informe de vulnerabilidad válido de un pirata informático ajeno a su recompensa de errores privados, es posible que dicho pirata informático no piense en enviarlo a un programa privado en primer lugar.

Sin embargo, la mayoría de los programas de recompensas privados planean expandirse eventualmente para ser más públicos, lo que Apple dice que eventualmente lo hará. Rice dijo que los programas de HackerOne se han mantenido privados de tres días a tres años, aunque por lo general duran alrededor de tres meses. Cran dice que BugCrowd recomienda seis meses para la mayoría de los clientes. De hecho, en un mundo ideal, el anuncio de un programa privado de alto perfil como las señales de Apple a los piratas informáticos de que una empresa, según Cran, 'eventualmente pagará por las cosas' y una señal para 'abrir un dispositivo iOS y prueba, incluso si el programa se cierra al principio.



'Todos asumen que los programas privados tienen restricciones estrictas', dijo Katie Moussouris, consultora de seguridad que creó la primera recompensa por errores de Microsoft y, más recientemente, asesoró al Departamento de Defensa en su programa Hack the Pentagon. “Pero es más un problema de percepción que un problema de acceso. Uno de los mayores problemas es simplemente la confusión sobre cómo ser invitado a un programa inicialmente privado ”.

Y entrar en asuntos tempranos. Sean 'comidas' Melia es el hacker mejor clasificado en la tabla de clasificación de todos los tiempos de HackerOne por su métrica patentada de 'reputación'. Gana más dinero con recompensas que en su trabajo diario en una empresa de seguridad. 'Y gano mucho dinero en mi trabajo habitual', le dijo a BuzzFeed News. Pero incluso Melia, la imagen misma de un pirata informático de confianza, no fue invitada a una recompensa privada importante reciente hasta casi un año después de su lanzamiento.

Para cuando Meliá tuvo acceso, 'la gente ya había atravesado y recogido una gran cantidad de la fruta madura', dijo. 'Estaba bastante desanimado. Es descorazonador ver que se invitó a personas con poca reputación o que son nuevos en la plataforma antes que a mí ''. Es fácil imaginar a un pirata informático desanimado, excluido de un programa de recompensas como el de Apple, recurriendo al mercado privado.

Aún así, como los defensores de las recompensas de errores privados se apresuran a señalar, las empresas siempre han tenido pruebas de errores privados que dejaron fuera a la gran mayoría de los piratas informáticos. Incluso si son privados, el creciente número de recompensas por errores es una señal de que incluso las organizaciones más cautelosas, desde Apple hasta el gobierno estadounidense, se han dado cuenta de que necesitan, que todos necesitan, la participación de la mayor comunidad de ciberseguridad para hacer su sistemas y productos lo más seguros posible.

'Tradicionalmente, la gente no hablaba en absoluto sobre el hecho de que tenían un programa privado', dijo Moussouris, quien consultó con Apple antes del anuncio de su programa. 'Este es un cambio de pensamiento. También le está diciendo al mundo que estamos abiertos a este concepto, pero también vamos a aprender a medida que avanzamos en este proceso '.