Las recompensas de errores no te harán rico (pero deberías participar de todos modos)


Comentario: hay mucha publicidad sobre las recompensas de errores, pero aquí hay algo de verdad.

Error de hacker para la protección de internet. Defensa de datos de la computadora

Imagen: iStockphoto / ArtHead-

En caso de que planeara dejar su trabajo diario para ir a matar insectos a tiempo completo para ganarse la vida, no lo haga. Claro, algunos hackers ganan más de $ 1 millón cada año haciendo eso. Y, claro, usted también podría hacerlo. Pero como cazarrecompensas experimentado Alex Haynes ha descrito, «muy pocas personas (eliminando errores para obtener recompensas) ganan incluso más que un trabajador de manage de plagas en Mississippi».

Sí, en serio. Este es el por qué.

VER: El estafador de Mastermind detrás de Catch Me If You Can habla de ciberseguridad (Descarga de TechRepublic)

Las altas son altas (y las bajas son bajas)

Lo que hace que los piratas informáticos tengan hambre de recompensas de errores es la fiebre de la dopamina (y el dinero en efectivo de cinco cifras) cuando pasan solo unos minutos buscando errores, encuentran uno, lo denuncian y aparentemente obtienen «dinero por nada». El problema es que esto rara vez sucede para la mayoría de las personas.

Incluso cuando lo hace, dijo Haynes, hay todo tipo de razones por las cuales encontrar un mistake no equivale a encontrar riquezas:

  • Duplicados: «Esta es una de las frustraciones recurrentes en las recompensas de errores: en virtud del hecho de que otras personas están mirando lo mismo que tú, no solo tienen la audacia de encontrar las mismas vulnerabilidades que tú, sino que también pueden encontrar ellos delante de ti «.

  • Mini recompensas: «&#39Has evitado el apocalipsis. Aquí hay $ 100&#39. Si bien es común encontrar compañías más pequeñas que no ofrecen grandes pagos, también es común para las compañías que deberían tener grandes pagos, pero no lo hacen «.

  • Renunciar a los pagos: «Se encuentra una vulnerabilidad, el activo está dentro del alcance, es válido, pero la compañía afirma que fue un error. Esto generalmente lo enfurecerá más cuando regrese más tarde y de todos modos continuaron y solucionaron el error».

  • Reglas extrañas (también conocido como «Synack»): En lugar de recompensar a la primera persona que encuentre la vulnerabilidad, «recompensa a la primera persona que encuentre una vulnerabilidad que también escriba un ensayo de 13 páginas como prueba de concepto. Por lo tanto, no puede simplemente escribir &#39Pegue esta URL en su navegador para vea el XSS &#39tiene que dividirlo en siete pasos (no es broma) con el primer paso&#39 Abrir su navegador &#39(todavía no es broma) «.

  • Pagos lentos: «A veces puedes esperar semanas y meses para que se solucione tu mistake, e incluso más tiempo para que se recompense».

Y más, incluido el regateo sobre si las vulnerabilidades graves son vistas o tratadas como tales por la compañía que paga las recompensas. El pirata informático está a merced de las empresas que pagan las recompensas, sin mucha influencia para garantizar que se le pague a tiempo (o en absoluto).

Y todavía….

Cualquiera puede tocar la guitarra (o piratear recompensas)

Cuando le pregunté al CEO de HackerOne, Marten Mickos, el año pasado sobre qué hace que las recompensas por errores valgan la pena, señaló el importante dinero que hacen muchos hackers. Pero también insistió en que este no era el aspecto más importante de tales programas. En cambio, dijo, las recompensas de errores crean «oportunidades democratizadas en todo el mundo».

Sí, unos pocos ganan mucho más que muchos, pero esto no es sorprendente. Los que tienen más experiencia tenderán a ganar más, pero la oportunidad de ganar esa experiencia (y ganar más dinero) siempre está ahí.

Mientras tanto, Mickos dijo: «Las personas súper inteligentes que están completamente comprometidas con la ciberseguridad trabajan en su tiempo libre para buscar vulnerabilidades, informarlas y ayudar a otros a explicar cómo se hizo. La seguridad de la empresa en cuestión mejora. La comprensión normal de este tipo de vulnerabilidad aumenta en la industria «. Es un ciclo virtuoso, uno que debería hacer que nuestro computer software y sistemas sean más seguros, incluso cuando un número creciente de piratas informáticos reciben un pago por sus problemas. (Y, como Haynes deja claro, hay son problemas reales que deben ser resueltos).

Divulgación: trabajo para AWS, pero nada en este documento se relaciona directa o indirectamente con mi trabajo allí.

Ver también



Enlace a la noticia initial