Los programas de recompensas por errores se han convertido en un canal invaluable para la divulgación y reparación de vulnerabilidades, pero como cualquier industria, vienen con su propio conjunto de problemas.
Las plataformas de recompensas por errores, como las operadas por HackerOne y Bugcrowd, trabajan con empresas individuales para lanzar y administrar programas para que los investigadores externos se responsabilicen de informar vulnerabilidades en el software y los servicios en línea.
Alguna vez fue una práctica común que los informes de vulnerabilidad se hicieran por partes; puede haber sido a través de un correo electrónico genérico o por teléfono, y algunas organizaciones se asustarían con los informes de errores o responderían negativamente.
Este sigue siendo el caso en algunos círculos, donde el miedo, la falta de preocupación o la falta de educación pueden causar una reacción violenta. Correos electrónicos enviados a DK-Lok por MarketingyPublicidad.es advirtiéndoles de un servidor no seguro simplemente se enviaba a la papelera (visible cuando el servidor estaba abierto). Los investigadores de Coalfire fueron arrestados por las fuerzas del orden de EE. UU. mientras realizaban una prueba de penetración que había solicitado el sistema judicial.
Además, quién podría olvidar al gobernador de Missouri, Mike Parson, quien calificó a un periodista de «pirata informático» por ver el HTML del sitio web y reportar una violación de datos grave que afectaba a los educadores del estado.
Los programas oficiales de recompensas por errores pueden agilizar el proceso, al menos cuando se trata de la divulgación típica de vulnerabilidades. Sin embargo, según lo compartido por el especialista del personal de seguridad de White Oak, Brett DeWall, hay problemas comunes, en su opinión, que los nuevos cazadores de errores deben tener en cuenta.
Comunicación
Si bien los evaluadores de penetración de la empresa intentan revelar errores, la falta frecuente de comunicación se considera un «proceso que consume mucho tiempo». Si la organización no tiene un proyecto establecido de recompensas por errores, los investigadores pueden encontrarse probando múltiples canales que van desde LinkedIn y las redes sociales hasta direcciones de correo electrónico genéricas y canales de ventas.
Si un proveedor no tiene instrucciones de divulgación responsable en su sitio web, abrir una línea de comunicación inicial puede ser aún más difícil.
«Hoy en día, las empresas no siempre están dispuestas a recibir noticias sobre problemas de seguridad con sus productos u ofertas», dice DeWall. «La mayor parte de la comunicación da como resultado un SILENCIO de radio… Esto puede ser frustrante desde el punto de vista de un investigador que está tratando de transmitir información confidencial en el método más preferido posible. Lo más importante aquí es seguir intentándolo».
Alcance
Los errores «dentro del alcance» y «fuera del alcance» son características comunes de los procesos de divulgación. Por ejemplo, es posible que las organizaciones deseen conocer las vulnerabilidades de ejecución remota de código (RCE), pero no considerarán problemas que pueden ser menos graves, a pesar de su capacidad de explotación o impacto en el mundo real, como servidores no seguros, falsificación de solicitudes del lado del servidor (SSRF). ) o vulnerabilidades de referencia de objeto directo inseguro (IDOR).
DeWall dice que White Oak se ha topado con «múltiples» ejemplos de esto cuando los errores de SSRF/IDOR están ‘fuera del alcance’ y, por lo tanto, no se aceptan envíos. Esto podría deberse a muchas razones, como un número limitado de personal capaz de verificar los informes y el tiempo necesario para abordar las fallas.
Dewall comentó:
«Es posible que la organización no tenga los recursos financieros para pagar las recompensas o la cantidad de empleados necesarios para mantenerse al día con el esfuerzo de validación. Si se descubre un error de alto riesgo que está «fuera del alcance», ¿ya no se puede explotar? Todavía recomendaría encarecidamente a las organizaciones que tienen programas de recompensas por errores que acepten (o proporcionen un formulario de contacto) para cualquier envío que esté «fuera del alcance».
Reconocimiento
Según DeWall, una de las «mayores» frustraciones en la divulgación de vulnerabilidades es no recibir ningún crédito por encontrar e informar responsablemente un error.
Mientras que los investigadores quieren ser reconocidos por su trabajo y pueden querer incluir sus hallazgos como parte de su cartera, por otro lado, las organizaciones no quieren que las fallas de seguridad encontradas en sus productos sean públicas.
Si desea alentar a los investigadores a dedicar su tiempo a mejorar la seguridad de sus productos, un Salón de la fama, que no tiene que revelar los aspectos técnicos de las vulnerabilidades, podría ser el camino a seguir como un compromiso justo.
«La búsqueda de recompensas por errores o la investigación de seguridad llegó para quedarse y no se detendrá pronto (o nunca)», señaló el investigador. «Sin embargo, la forma en que lo manejamos puede cambiar: los investigadores y las organizaciones deben trabajar juntos».
HackerOne ha elaborado un libro electrónico con consejos para aquellos interesados en involucrarse en la caza de recompensas por errores.
Ver también
¿Tienes un consejo? Póngase en contacto de forma segura a través de WhatsApp | Señal al +447713 025 499, o más en Keybase: charlie0
