Conozca a los piratas informáticos que ganan millones por salvar la Web. Cómo las recompensas por errores están cambiando todo lo relacionado con la seguridad


Estos piratas informáticos están encontrando errores de seguridad y se les paga por ello. Eso está cambiando la dinámica de la ciberseguridad.

La primera vez que Katie Paxton-Fear encontró un error, pensó que era solo suerte.

Una de sus amigas la había inscrito en un evento en Londres, donde los piratas informáticos apuntan a encontrar las vulnerabilidades en un software en particular.

Sin ninguna experiencia en ciberseguridad más allá de ser programadora y desarrolladora, encontró un error, luego otro. "Para ser justos, pensé que fue una casualidad", dice. Pero desde entonces ha encontrado 30 errores de seguridad más.

"Es como interpretar a Sherlock Holmes", dice Paxton-Fear.

"Te sientes como un detective, yendo de un lado a otro y diciendo: 'Eso parece interesante', y tienes una serie de pistas", dice. "Y, cuando reúnes todas las piezas perfectamente, y funciona y hay un error allí, es la experiencia más emocionante de la historia".

Pero a diferencia de un hacker que busca vulnerabilidades para causar daños o robar datos, Paxton-Fear es un cazarrecompensas de errores. Los errores que encuentra se informan a las empresas que escriben el código.

VER: Política de formación y sensibilización sobre seguridad (TechRepublic Premium)

Eso permite a estas organizaciones solucionar los problemas antes de que los piratas informáticos malintencionados encuentren las mismas debilidades. Y a los cazadores de insectos se les paga por cada uno que encuentran.

Como tal, forma parte de una industria en crecimiento que permite a los investigadores de seguridad piratear el software de las organizaciones, con su permiso, y luego informar las debilidades que descubren a cambio de una recompensa financiera.

Es una forma diferente de abordar la seguridad informática, pero que está resultando cada vez más popular. Una característica clave es que estos investigadores de seguridad se acercarán a un objetivo desde la misma perspectiva que un atacante potencial.

En ese sentido, los cazarrecompensas de errores son tanto el detective Holmes como, al menos en parte, su némesis, Moriarty, aunque Paxton-Fear dice que se ve más como Sherlock porque al encontrar los errores y denunciarlos, está ayudando a mejorar la seguridad.

"Estoy haciendo lo correcto", dice.

No es que hacer lo correcto le quite la emoción: Paxton-Fear se sorprendió temblando cuando escribió el informe para detallar su primer error.

Encontrar errores en el trabajo de otras personas

Varias empresas ahora ejecutan sus propios programas de recompensas por errores, que permiten a los piratas informáticos informar las fallas que encuentran en su software. También hay empresas que organizan estos programas para empresas que no quieren ejecutarlos internamente.

Paxton-Fear dice que lo que ella describe como el "buen dinero de bolsillo" que gana con las recompensas por errores es un motivador, pero no el único. "Para mí es un hobby, pero lo disfruto mucho".

Sin embargo, para algunos piratas informáticos, las recompensas por errores pueden significar grandes ganancias.

Según HackerOne, que organizó los eventos a los que asistió Paxton-Fear y organiza recompensas por errores para grandes empresas y agencias gubernamentales, nueve piratas informáticos han ganado más de $ 1 millón cada uno en recompensas por detectar vulnerabilidades.

Trece más han alcanzado los $ 500,000 en ganancias de por vida, y 146 hackers ahora han ganado $ 100,000 cada uno.

Los investigadores que hackearon la plataforma de HackerOne ganaron casi $ 40 millones en recompensas en 2019. Eso es casi igual a los $ 82 millones en recompensas que la compañía ha pagado en nombre de sus clientes hasta la fecha, y eso no tiene en cuenta los errores corporativos. programas de recompensas que también están pagando millones al año.

No está mal dinero por encontrar errores en el trabajo de otras personas.

VER: Ciberseguridad: esto es lo que ganan los mejores piratas informáticos de las recompensas por errores (ZDNet)

Tommy DeVoss es uno de esos piratas informáticos que ganan nueve millones de dólares. Es un pirata informático reformado convertido en cazarrecompensas de errores. DeVoss buscará errores un par de días a la semana, buscará cosas que hayan cambiado en los sistemas a los que se dirige, y tal vez verificará errores antiguos para ver si ha habido un cambio que signifique que la falla ha vuelto.

"El factor determinante más importante es el hecho de que he estado haciendo esto durante tanto tiempo y he visto tantas cosas. He sido administrador de sistemas y he sido desarrollador. Sé los errores que se cometen porque he cometido esos errores ", dice.

<a href = "https://tr4.cbsistatic.com/hub/i/r/2020/11/13/a87e5142-1336-4ef0-88e1-862f700c9b1c/resize/770x/65618bfd42d30b88aae11919a2e87ffa/tommy-devoss-1.jpg "target =" _ blank "componente de datos =" modalEnlargeImage "título de datos ="

"Sé los errores que se cometen porque yo he cometido esos errores", dice el cazarrecompensas de errores Tommy DeVoss.

"data-credit =" Imagen: TJ STEGE / HackerOne "rel =" noopener noreferrer nofollow ">tommy-devoss-1.jpg

"Sé los errores que se cometen porque yo he cometido esos errores", dice el cazarrecompensas de errores Tommy DeVoss.

Imagen: TJ STEGE / HackerOne

DeVoss dice que cada uno de los nueve hackers millonarios busca un tipo de error diferente.

"Ninguno de nosotros tiene el mismo conjunto de habilidades, y creo que es por eso que todos podemos tener éxito al mismo tiempo, en lugar de luchar entre nosotros por exactamente los mismos errores", dice.

Pero este grupo de élite de altos ingresos es en gran medida la minoría. Para la gran mayoría, las recompensas son mucho menores; HackerOne dijo que de los piratas informáticos que han encontrado al menos una vulnerabilidad, la mitad ha ganado $ 1,000 o más. Pero para algunos piratas informáticos, las recompensas por errores se están convirtiendo en una fuente útil de apoyo financiero adicional.

Teniendo en cuenta que la piratería a menudo se considera un mundo sombrío y misterioso, en realidad hay una gran cantidad de datos sobre lo que ganan los piratas informáticos con recompensas por errores y qué los motiva. Y no siempre se trata del dinero.

Explicaciones de motivaciones

Casi una cuarta parte de los investigadores de seguridad encuestados por HackerOne dijeron que todos sus ingresos provienen de la piratería. Para más de la mitad, al menos el 50% de sus ingresos proviene de la piratería. La compañía dijo que la recompensa promedio pagada por una vulnerabilidad crítica era de $ 3,650, mientras que la cantidad promedio pagada por vulnerabilidad es de $ 979.

La piratería es la actividad de una persona relativamente joven: más del 80% tiene menos de 35 años y solo la mitad del uno por ciento tiene más de 50. Y es muy masculino, y solo el 10% se identifica como femenino o no binario.

Tres cuartas partes tienen un título o título de posgrado en programación o ciencias de la computación. Solo el 14% no tiene ninguna formación en la materia. Sin embargo, cuando se trata de piratería, casi la mitad se describe a sí misma como autodidacta.

istock-1177154951.jpg "src =" https://tr4.cbsistatic.com/hub/i/r/2020/11/13/dbf6f206-3968-4678-86c1-6060b9cb48d1/resize/370x/ac10a6806593b0c7f05ebafdb11ff1a0/is .jpg

Casi la mitad de los hackers se describen a sí mismos como autodidactas.

Imagen: Getty Images / iStockphoto

Los piratas informáticos ganaron un 38% más en pagos de recompensas en comparación con 2019, según los datos de Bugcrowd, otra compañía de programas de recompensas por errores, que calcula que sus piratas informáticos evitaron $ 8.900 millones en delitos cibernéticos al encontrar y permitir que las empresas corrigieran errores que de otro modo habrían dejado a los atacantes entrar en su sistemas.

Entre los otros datos que recopiló Bugcrowd está que los piratas informáticos, al parecer, no son madrugadores: el 73% realiza su piratería por la noche y solo el 13% lo hace por la mañana. Casi la mitad pasa cuatro horas o menos trabajando en errores y solo un 8% súper duro lo hace más de 30 horas a la semana.

Los piratas informáticos parecen encontrar la forma de obtener recompensas de errores a través de una variedad de rutas.

Santiago López, otro miembro del grupo de élite de investigadores millonarios de HackerOne, se sintió intrigado por la piratería después de ver la película Hackers, y obtuvo su primera recompensa por errores en 2016, cuando tenía 16 años. Se convirtió en el primer pirata informático. en la plataforma para ganar un millón de dólares en recompensas.

"Sobre todo, tener la curiosidad de querer romper cosas y jugar realmente decidirá si estás hecho para la vida de un hacker", dice.

Una película también estaba detrás de cómo Mico Fraxix se interesó en la seguridad informática, pero por una razón ligeramente diferente.

Trabajaba como ingeniero de TI cuando Sony Pictures fue pirateado por Corea del Norte, un ataque que probablemente fue en respuesta a la comedia cinematográfica del estudio, The Interview, que se desarrolló en el país.

VER: Política de seguridad de la red (TechRepublic Premium)

Para Fraxix, el incidente despertó un interés en el mundo de la seguridad informática. Se dio cuenta de que una opción era convertirse en un probador de penetración que probaría las defensas de una empresa, que a menudo trabajaba para una empresa de consultoría de seguridad. Pero este camino exigía un título en ciberseguridad, lo que lo encarecía. La segunda opción era convertirse en un cazarrecompensas de errores, y pasó a ser uno de los más exitosos de Bugcrowd.

"Cuando leí por primera vez en línea que es posible piratear empresas y no ser procesado por ello, me emocioné y me sorprendió", dice y trabajaba a tiempo completo como cazarrecompensas de errores antes de pasar a un trabajo en pruebas de penetración, pagando el entrenamiento a través de la búsqueda de errores.

Entonces, ¿qué hace a un buen cazarrecompensas de errores? Paxton-Fear reconoce que ser desarrollador es una gran ventaja.

"Tengo un sentido innato de cómo lo haría y supongo que la gente piensa como yo", dice.

"Una de las grandes habilidades de las recompensas de errores que es realmente difícil de enseñar es la intuición. Todo lo que hago lo sigo siguiendo mi intuición. Es lo que parece interesante y lo que no se ve bien".

Grandes recompensas por ayudar a la gran tecnología

Los programas de recompensas de errores han existido durante mucho tiempo. El pionero del navegador Netscape lanzó el primero en 1995. Unos años más tarde, Mozilla decidió lanzar un programa similar para permitir a los usuarios informar errores en su software, un programa que todavía se ejecuta en la actualidad.

Mozilla comenzó con suficiente dinero para 10 recompensas, pero no sabía si la idea iba a despegar o no.

"Somos la recompensa de errores de seguridad más antigua que todavía está en funcionamiento", dice Daniel Veditz, ingeniero de seguridad de personal senior de Mozilla. "Éramos una empresa pequeña y parecía una buena forma de animar a la gente a investigar los problemas de seguridad".

Pero desde comienzos modestos, El programa de recompensas por errores de Mozilla ha crecido. Entre 2017 y 2019, Mozilla pagó casi un millón de dólares ($ 965,750 para ser precisos) a investigadores que informaron 348 errores, con un pago promedio de $ 2,775 por error. El fabricante del navegador Firefox pagará entre $ 3,000 y $ 10,000 a los investigadores que detecten vulnerabilidades de seguridad de clientes críticas y de alta calificación potencialmente explotables.

Pero para Veditz, tener un programa de recompensas por errores también es una señal de la actitud de una empresa hacia la seguridad. Muestra que la compañía da la bienvenida a los investigadores de seguridad y ve valor en su trabajo. "Queremos enviar una señal, nos importa, por favor venga a molestarse. Si ha encontrado algo, ayuda a todos".

Y, después de los primeros experimentos de Netscape y Mozilla, siguieron muchas otras grandes empresas de tecnología. Ahora se ofrecen recompensas por errores en cualquier cosa, desde errores en sitios web hasta servicios en la nube, software empresarial o aplicaciones móviles.

"Lo empezamos como un experimento, y no había nadie alrededor para animarnos o compararnos", dice Veditz. "En el camino, muchas otras personas han decidido que es una buena idea y nos han emulado y superado en la cantidad de dinero que pueden pagar a la gente".

Entre los que gastan mucho en recompensas por errores se encuentran algunos de los gigantes tecnológicos más grandes. Microsoft ahora ofrece recompensas a los investigadores de seguridad que encuentran vulnerabilidades en una variedad de sus productos, desde Microsoft Azure a Xbox, Microsoft Dynamics 365 a su nuevo navegador Edge.

VER: Facebook lanza un 'programa de fidelidad' de recompensas por errores (ZDNet)

A principios de este año Microsoft dijo que había gastado $ 13,7 millones en recompensas en los últimos 12 meses – más de tres veces los 4,4 millones de dólares que gastó el año anterior. Esa es una gran cantidad, pero también lo son los posibles premios a las personas. Un investigador que descubra una vulnerabilidad crítica de ejecución remota de código, divulgación de información o denegación de servicio en Hyper-V de Microsoft podría ganar hasta $ 250,000, mientras que los informes de vulnerabilidad sobre los servicios en la nube de Microsoft Azure podrían ganar $ 40,000.

Microsoft señaló que, dado que muchos no pueden salir de sus hogares debido a los bloqueos de COVID-19, los cazarrecompensas de errores han estado ocupados. En todos sus 15 programas de recompensas, Microsoft vio un aumento en los informes de errores durante los primeros meses de la pandemia.

Google es otro gran inversor en recompensas por errores, gastando un total de 21 millones de dólares desde que lanzó sus programas de recompensas por vulnerabilidades hace una década, incluidos 6,5 millones de dólares en 2019, el doble de lo que había pagado anteriormente en un solo año.

También ofrece enormes recompensas potenciales, con un premio máximo de $ 1 millón por un "exploit de ejecución remota de código de cadena completa con persistencia" que compromete el chip seguro Titan M en dispositivos Pixel. Y si el exploit se encuentra en versiones de vista previa de Android específicas para desarrolladores, hay una bonificación del 50% y se lleva la recompensa. hasta $ 1.5 millones.

Después de que estos gigantes lanzaron programas de recompensas por errores, muchas otras empresas tecnológicas vieron los beneficios del enfoque, convirtiéndolo en una opción común. Pero en los últimos años, la moda de las recompensas por errores se ha extendido más allá de la tecnología; ahora, muchas grandes empresas ofrecen algún tipo de recompensa. Eso es en gran parte gracias al Departamento de Defensa de EE. UU., Que lanzó su Hackear el Pentágono en 2016 como el primer programa de recompensa por errores del gobierno federal, que desde entonces le ha permitido identificar y corregir miles de vulnerabilidades de seguridad en los sistemas públicos.

Poniendo los ojos en el premio

Entonces, ¿por qué el código tiene fallas en primer lugar?

Parte del problema es la forma en que se escribe el software. Por lo general, se escribe apresuradamente, con una fecha límite que se avecina y el jefe caminando de un lado a otro. Está escrito por varios equipos con experiencias ligeramente diferentes y diferentes habilidades y prioridades. Luego, esos equipos tendrán que fusionar de alguna manera esos diferentes proyectos y asegurarse de que el resultado final sea seguro.

paxtonfear.jpg "src =" https://tr1.cbsistatic.com/hub/i/r/2020/11/13/f6bd1891-2dab-490d-bf8c-f093b4b9d731/resize/770x/484c0dc1bf3267d5d985bdb69ac401feb2/paxton

"No es que haya menos errores, es solo que los errores están en diferentes lugares", dice Katie Paxton-Fear.

Imagen: HackerOne

Pero entonces, lo más probable es que los objetivos del proyecto cambien y se necesite una nueva característica, lo que significa que se agregará un nuevo código en la parte superior. Y luego, tal vez uno o dos años más tarde, mucho después de que el equipo de desarrollo original haya avanzado, será necesario cambiar o eliminar una función, lo que significa que un nuevo equipo de desarrolladores intentará comprender y luego modificar toda la torre inclinada de código. Y este es el mejor escenario para el desarrollo en muchas situaciones. No es de extrañar que los piratas informáticos encuentren lagunas por las que puedan colarse.

Paxton-Fear dice que parte del problema es que el desarrollo de software es muy complejo e involucra a varios equipos.

"Tienes todo tipo de desarrolladores diferentes que tocan una pieza de software. Obtienes un tiempo de desarrollo que a menudo es realmente reducido para una función. Como desarrollador, solo quieres implementar funciones a tiempo. Estás pasando código y pequeñas cosas podría pasarse por alto todo el tiempo; es una lástima que algunos de ellos acaben siendo enormes riesgos de seguridad ", afirma.

Los beneficios para los investigadores son la oportunidad de hurgar en los sistemas de otras personas, algo que generalmente se desaprueba en el mejor de los casos, mientras se les paga y tal vez se convierten en una celebridad hacker.

VER: El programa de recompensas por errores de FireEye se hace público (ZDNet)

Para las empresas que utilizan programas de recompensas por errores, el beneficio proviene de poder hacer que muchos piratas informáticos experimentados examinen su código exactamente de la misma manera que lo harían los atacantes, pero sin el riesgo, y que paguen solo si lo hacen. encontrar cualquier cosa.

GitLab lanzó un programa privado de divulgación de vulnerabilidades en 2014 y desde entonces ha pasado a un programa público con HackerOne. Ahora ha pagado un millón de dólares a través de 768 reporteros de errores.

"El principal valor que obtenemos de ella es la reducción de riesgos, ese es el objetivo final", dice James Ritchey, gerente de seguridad de aplicaciones en GitLab. "Para hacer eso, debemos ser conscientes de nuestros problemas de seguridad, y qué mejor manera de hacerlo que tener más ojos en el producto. Ayuda a nuestro equipo de seguridad a escalar".

También es un reconocimiento de la realidad de la seguridad informática y la amenaza a la que se enfrenta toda organización cuando tiene sistemas expuestos a Internet.

"La ignorancia no es una bendición en la seguridad, por lo que realmente queremos saber sobre estos problemas de seguridad y todos esos ojos pueden darnos una mejor perspectiva. La verdad es que en el momento en que estás en Internet, eres una especie de objetivo abierto de todos modos En ese momento, es mejor tener una salida financiera para esos piratas informáticos porque de todos modos van a piratear ", dice.

Convertir un pasatiempo en una carrera

Prash Somaiya, gerente de programas técnicos de HackerOne, dice que los programas de recompensas de errores que organiza brindan a las empresas acceso a habilidades a las que no podrían acceder fácilmente de otra manera. Algunas empresas tienen una infraestructura tan extensa que les resulta difícil incluso entender dónde están sus propios sistemas, y mucho menos probarlos por seguridad.

Él dice que la diferencia clave entre contratar consultores para realizar pruebas de penetración y configurar un programa de recompensa por errores es que a estos investigadores de seguridad no se les paga por su tiempo y no se les paga una tarifa por hora para que encuentren errores. se trata de generar resultados.

"La seguridad es una bestia en evolución. Toda organización tiene vulnerabilidades presentes en su software sin importar qué, y se trata de reconocer eso y trabajar con la comunidad de seguridad para descubrir estas fallas", dice. "Si esas vulnerabilidades existen en Internet, se pueden encontrar y explotar".

istock-507473994-2.jpg "src =" https://tr3.cbsistatic.com/hub/i/r/2020/11/13/adfd5963-427a-4d4b-8fa0-c01d381217d3/resize/370x/42617267501f2f4dcfbfd8b3b869 -507473994-2.jpg

La seguridad es una bestia en constante evolución.

Imagen: Getty Images / iStockphoto

Sin embargo, un programa de recompensa por errores no reemplaza las formas más tradicionales de pruebas de seguridad, sino una adición, advierte Veditz de Mozilla. "Hay empresas que se lanzan a un programa de recompensa por errores pensando que es un sustituto de la garantía de calidad, las pruebas o un programa de seguridad, y eso es un camino hacia el desastre".

Algunos críticos advierten que los programas de errores se están utilizando como yeso cuando en realidad las organizaciones necesitan repensar fundamentalmente cómo escriben el código. Dicen que las empresas no deberían depender de personas externas, muchas de ellas autodidactas y que lo hacen por diversión, o que trabajan en economías de bajo costo donde el dinero de las recompensas va más allá, para corregir errores básicos que los equipos internos deberían haber detectado. .

Argumentan que las empresas deben asegurarse de que sus procesos de desarrollo interno fomenten la codificación segura en lugar de agregar seguridad como una ocurrencia tardía, o esperar que los piratas informáticos externos puedan solucionar el problema más adelante.

VER: La plataforma de recompensas por errores ZDI otorgó $ 25 millones a investigadores durante los últimos 15 años (ZDNet)

Teniendo en cuenta el tiempo adicional del desarrollador, el costo del programa de recompensas por errores y el costo de cualquier posible violación de seguridad en el ínterin, asegurarse de que el código sea seguro antes de que se publique siempre será mucho más barato que arreglarlo más tarde.

Además, configurar un programa de recompensas por errores sin tener los desarrolladores en su lugar que realmente puedan rastrear y corregir los errores descubiertos, que es una habilidad muy diferente a encontrarlos en primer lugar, significa que es poco probable que se mejore la seguridad. como resultado. Incluso podría empeorar las cosas al crear una falsa sensación de seguridad.

De hecho, los programas de recompensas por errores no son la respuesta a todos los problemas y pueden crear algunos propios. Algunos investigadores no quieren participar en ellos porque algunos programas limitan su capacidad para compartir las vulnerabilidades que descubren, algo que beneficiaría a todos los usuarios de ese software en particular y les ayudaría a construir su propia reputación.

También hay una crítica más amplia al modelo: que, como muchos otros modelos de crowdsourcing, las recompensas son difíciles de ganar. Hay relativamente pocos piratas informáticos que ganen mucho dinero.

Esta presión económica es quizás parte de la razón detrás de la expansión geográfica de los investigadores que buscan recompensas por insectos. Para Bugcrowd, el 80% de las recompensas provienen de empresas estadounidenses, pero el 34% se paga a investigadores de la India (en comparación con el 26% que se otorga a investigadores estadounidenses). Para HackerOne, casi el 90% de las recompensas provienen de los EE. UU., Y aunque los piratas informáticos de EE. UU. Obtienen más, los investigadores de India, Rusia y China también obtienen buenos resultados. Eso significa que las recompensas por errores podrían, en algunos aspectos, convertirse en un giro de crowdsourcing en el modelo establecido de subcontratación offshore.

Pagar por resultados mantiene bajos los costos, pero puede alentar a los investigadores a enfocarse en fallas más fáciles de detectar que pueden desenterrar usando herramientas automatizadas, en lugar de las que pueden requerir mucho más tiempo y esfuerzo, creando aún más una falsa sensación de seguridad.

Y vale la pena recordar que para la mayoría de los participantes, la caza de insectos es un pasatiempo divertido. Algunos pueden preguntarse si es prudente que las organizaciones más grandes del mundo confíen en los aficionados para su seguridad en línea.

Más positivamente, muchos piratas informáticos ven demostrar su destreza como cazadores de errores como una ruta hacia la industria de la seguridad, que está desesperada por encontrar talento. Si las recompensas por errores pueden demostrar que tienen un papel en la creación de una vía de acceso para los nuevos profesionales de la seguridad, como sucedió con Fraxix, es posible que algunas de las críticas desaparezcan.

Hackear es un deporte de equipo

Una cosa que podría sorprender a los forasteros es la cantidad de cooperación entre los piratas informáticos. Aunque solo uno de ellos podrá reclamar alguna recompensa en particular, la comunidad de piratas informáticos de recompensas por errores comparte abiertamente la mayor parte de la información, dice DeVoss.

"Una de las principales partes de volverse bueno cuando se trata de piratería y recompensas de errores es que siempre habrá personas más inteligentes que tú, que saben más que tú o que saben cosas diferentes a las tuyas", dice. "Hago esto por dinero, pero no soy codicioso, así que no me importa que otras personas también ganen dinero".

Paxton-Fear está de acuerdo: "Sé que si tengo un problema, puedo pedir ayuda a 10 personas diferentes y confiar en su experiencia, y muchas veces no pedirán la devolución del dinero, solo quieren ayudar. Todos se da cuenta de cómo fue empezar ".

-1197640540.jpg "src =" https://tr3.cbsistatic.com/hub/i/r/2020/11/13/a5075ad1-8637-403a-ad05-dee6de83548d/resize/370x/96afd50339f42ed62749f2b289c1abf8/istock-119tock .jpg

La piratería es una comunidad, y las recompensas por errores ahora son parte de la corriente principal.

Imagen: Getty Images / iStockphoto

Las recompensas por errores han recorrido un largo camino desde el día del primer experimento de Netscape. Ahora son firmemente parte de la corriente principal de la industria de la seguridad. Entonces, a medida que aumenta el número de aspirantes a piratas informáticos, y las empresas que se sienten cómodas con emplearlos, ¿cómo cambia eso el mundo de las recompensas por errores?

"La piratería siempre será una buena oportunidad para las personas que no quieren seguir una trayectoria profesional corporativa tradicional y quieren la flexibilidad que viene con el territorio", dice López, y agrega que a medida que aumente la conciencia sobre la piratería de recompensas de errores, sin duda se convertirá en menos nicho, lo que significa más competencia.

Los desarrolladores se están dando cuenta, lo que significa que algunos de los errores más fáciles ahora son más difíciles de encontrar.

Las empresas han madurado drásticamente en los últimos años, dice Fraxix. "Solía ​​ser que fácilmente podía comprometer marcas y empresas famosas, pero hoy en día es mucho más difícil. Las empresas están mejor preparadas y sus equipos de desarrollo están mejor capacitados".

Eso es especialmente cierto cuando las organizaciones han estado ejecutando recompensas por errores durante un tiempo.

VER: Microsoft va a lo grande en recompensas por errores de seguridad: sus $ 13.7 millones son el doble de los pagos de Google en 2019 (ZDNet)

Ritchey de GitLab dice que cuando ejecutó el programa por primera vez, hubo hallazgos muy sencillos que fueron muy fáciles de reproducir.

"Hoy en día, es mucho más complejo. Lo que pasa es que constantemente lanzamos nuevas funciones y actualizamos nuestro propio software, y por eso los problemas de seguridad nunca desaparecerán. Los problemas de seguridad siempre estarán ahí, lo importante es tener un enfoque de múltiples capas ".

La mejor defensa contra el peor problema

Y seguro, los tipos de vulnerabilidades que se buscan han cambiado. Cuando se lanzaron las primeras recompensas por errores, la nube y los teléfonos inteligentes no existían. Sin embargo, ahí es donde ahora se pueden obtener algunas de las mayores recompensas. Esto puede resultar ser uno de los factores limitantes para el modelo de negocio de recompensas por errores, porque la mayoría de los piratas informáticos se centran en la seguridad web en lugar de estas áreas más complicadas que a menudo requieren habilidades y experiencia adicionales. En la última investigación de Bugcrowd, por ejemplo, el 70% de los piratas informáticos enumeraron habilidades de prueba de aplicaciones web, pero solo el 3% enumeró habilidades de aplicaciones de Android.

Aún así, nadie espera seriamente que la seguridad informática mejore hasta el punto en que las recompensas por errores, o todas las otras técnicas utilizadas para probar el código una vez que se ha escrito, se retirarán pronto.

"No creo que vaya a ser más difícil … creo que será diferente", dice Paxton-Fear. Si bien hace unos años la búsqueda de errores se trataba de fallas particulares como secuencias de comandos entre sitios e inyecciones de JavaScript, ahora los desarrolladores conocen estos problemas.

Pero gracias a la Internet de las Cosas la cantidad de dispositivos conectados con algún tipo de potencia informática continúa expandiéndose, lo que significa nuevos e inusuales objetivos para los investigadores, como una nevera conectada a Internet.

"Seguro que hay errores en tu nevera", dice Paxton-Fear. "No hay un final en el que los desarrolladores de repente se den cuenta de cada error, simplemente cambia. No es que haya menos errores, es solo que los errores están en diferentes lugares".

VER: IoT: principales amenazas y consejos de seguridad para dispositivos (PDF gratuito) (TechRepublic)

Veditz de Mozilla está de acuerdo; los piratas informáticos encuentran errores porque llegan al código con ese enfoque externo, y eso no va a cambiar.

"Siempre que haya errores en el software, hay errores de seguridad, y alguien tiene que encontrarlos. Las recompensas por errores son una buena manera de fomentar una mirada externa. Las recompensas por errores como concepto están aquí para quedarse en el futuro previsible hasta que lleguemos robots perfectos escribiendo nuestro código que no cometan errores ".

Es poco probable que incluso los robots perfectos hagan que los cazarrecompensas de errores sean superfluos, según DeVoss, quien sostiene que no existe un sistema informático 100% seguro, a menos que el equipo esté apagado.

Debido a la forma en que se escribe el software, a lo largo de los años, en algunos casos por equipos que aportan diferentes elementos y agregan nuevas funciones a lo largo del tiempo, el código que parece seguro en un momento puede desarrollar problemas a medida que se modifica en una fecha posterior.

"Mientras sigamos teniendo humanos escribiendo el código, habrá errores. E incluso cuando lleguemos al punto en el que la IA comience a escribir código y a encontrar errores, seguirán estando allí. El hecho de que algo parezca seguro hoy no lo hace No significa que en un mes, seis meses, un año o cinco años a partir de ahora, se encuentre algo que lo rompa por completo ", dice.

López tiene una opinión similar; No espere que las IA que escriben código perfecto saquen a los humanos inteligentes del negocio, dice: "Siempre habrá necesidad de piratas informáticos. Incluso con la IA y la seguridad incorporadas desde el principio, siempre habrá personas que quieran romper cosas y que aprenderán a manipular la IA para hacerlo. Los piratas informáticos humanos son la mejor defensa contra los ataques más sofisticados ".

Este artículo se publicó originalmente en el sitio hermano ZDNet.

Crédito de la foto de la imagen del héroe: iStock / Daronk Hordumrong



Enlace a la noticia original