Investigadores de seguridad impulsan el &#39Programa de recompensas por errores …



Un programa internacional que paga grandes sumas por el descubrimiento de vulnerabilidades de program podría estimular un mayor escrutinio de las aplicaciones y conducir a una mejor seguridad.

La creación de programas nacionales para comprar información sobre vulnerabilidades de los investigadores de seguridad podría reducir significativamente el riesgo de fallas de computer software, según dos investigadores de seguridad europeos.

En un documento publicado el jueves, «Bug Bounty Software of Last Resort», Stefan Frei y Oliver Rochford argumentan que los fondos necesarios para pagar una recompensa de $ 50K, $ 150K y $ 250K por medio, alto y crítico Las vulnerabilidades de gravedad de los 500 principales proveedores ascenderían a 1.700 millones de dólares, menos del ,01% del producto interno bruto de EE. UU. Para crear un impacto neto positivo en los ciberdelincuentes, el esfuerzo solo tendría que generar ahorros mínimos de menos del ,5% del impacto anual de $ 1 billón del ciberdelito, afirman los investigadores.

Si bien la propuesta es ambiciosa, solo resultados modestos reducirían el grupo de días cero disponibles y crearían un ecosistema de program más seguro, dice Frei, oficial de seguridad de SDX Safety y profesor de ETH Zurich, una universidad pública en Suiza.

«Durante las últimas dos décadas, tuvimos que aprender que las vulnerabilidades no desaparecen, a pesar de todas las inversiones», dice. «También tenemos que darnos cuenta de que hacer más de lo mismo no resolverá el problema».

los política propuesta – financiado por la Cátedra de Riesgos Empresariales del Departamento de Gestión, Tecnología y Economía de ETH Zurich – no es una sugerencia completamente nueva. Un análisis económico de programas de recompensas por errores publicado en el Workshop on the Economics of Facts Safety (WEIS) en 2019 encontró que la combinación de recompensas y una mejor aplicación de la ley tiende a tener el impacto más seguro para mejorar la seguridad. los Proyecto Open Bug Bounty se jacta de que los investigadores colaborativos han ayudado a cerrar cientos de miles de vulnerabilidades potenciales en sitios world wide web y software program.

Sin embargo, contar con un esfuerzo coordinado por el gobierno para encontrar la mayoría de las vulnerabilidades en el program y recompensar a los investigadores podría tener un impacto significativo en la seguridad del software program. No solo estimularía un mayor escrutinio de las aplicaciones y el código, sino que devolver los costos de las recompensas al proveedor de software package podría ayudar a incentivar aún más la codificación segura.

Actualmente, los proveedores de application no tienen muchas razones para priorizar la seguridad sobre los objetivos de desarrollo más comunes, como la funcionalidad y la velocidad de desarrollo, concluye el informe.

«Con pocos incentivos para invertir en diseño de program seguro e incluso menos penalizaciones o costos de responsabilidad por lanzar program inseguro, se ha vuelto común priorizar la agilidad comercial en lugar de la seguridad», afirman los investigadores en el informe. «Por tanto, el riesgo se ha exteriorizado por completo».

Actualmente, cientos de organizaciones y empresas ofrecen recompensas por errores, generalmente a través de programas comerciales de terceros, como Bugcrowd, HackerOne o Zero-Working day Initiative. Los esfuerzos han creado un mercado para la información de vulnerabilidades, y HackerOne dijo que pagó más de $ 23 millones por 10 clases de vulnerabilidades en un año.

Sin embargo, esos programas son opcionales y requieren una empresa que esté dispuesta a pagar las recompensas y las tarifas administrativas. Además, muchos de los principales proveedores de program tienen el flujo de efectivo para poder pagar un programa de recompensas. Si bien 11 de las 20 principales empresas de software con la mayor cantidad de CVE podrían ofrecer recompensas por menos del ,5% de los ingresos anuales, cinco son proyectos de código abierto, no entidades comerciales.

Utilizando la foundation de datos nacional de vulnerabilidades y su seguimiento de las vulnerabilidades que tienen asignado un enumerador de vulnerabilidades comunes (CVE), los investigadores estiman que cubre el 81% de las vulnerabilidades medias, altas y críticas, medidas por el sistema de puntuación de vulnerabilidades comunes (CVSS) costaría $ 1.7 mil millones al año.

«Los días cero, si bien son poco frecuentes para la mayoría de las empresas, son devastadores porque lo impactan incluso si está haciendo un gran trabajo», dice Frei. «Estar advertido es estar prevenido, por lo que es imperativo encontrar y revelar las vulnerabilidades lo más rápido que podamos, especialmente porque también agota el arsenal standard de días cero disponibles para criminales y estados-nación».

Quedan por aclarar muchos detalles de implementación. Si bien devolver el costo a los proveedores podría incentivar prácticas de desarrollo más seguras, la propuesta inicial exige que los gobiernos contribuyan en función de los beneficios que reciben del software package, identical en algunos aspectos a la economía del reciclaje. Sin embargo, se necesitarían regulaciones para asegurarse de que las empresas no continúen contribuyendo excesivamente a las cuentas de vulnerabilidad, dice Frei.

«Para darle fuerza a cualquier enfoque, se deben establecer y hacer cumplir estándares obligatorios y mínimos de calidad y seguridad, pero también hay formas indirectas de hacerlo», dice. «La no participación en (el esfuerzo) podría, por ejemplo, resultar en multas más altas de GDPR o primas de ciberseguro más altas. Pero abogamos por la participación obligatoria».

Si bien los investigadores piden un esfuerzo internacional, cada país o región puede abordar su parte de la iniciativa a su manera y unirse para compartir costos e información, dice Frei. La mayoría de los países ya tienen equipos de respuesta a emergencias (CERT) informáticos o cibernéticos, y algunas empresas de privacidad también podrían participar.

«Esperaríamos que haya adaptaciones regionales, por ejemplo, con algunos países asignando la responsabilidad a las agencias», dice. «También querríamos entidades múltiples y regionales para que los investigadores puedan presentarse a la entidad en la que confían. Varias entidades también proporcionan un nivel de redundancia y competencia».

Periodista tecnológico veterano de más de 20 años. Ex ingeniero de investigación. Escrito para más de dos docenas de publicaciones, incluidas CNET Information.com, Dark Looking at, MIT&#39s Technology Review, Preferred Science y Wired Information. Cinco premios de periodismo, incluido el de Mejor fecha límite … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia unique