Visita recomendada
https://bugcrowd.com y https://hackerone.com
Alberto PartidaEspecialista en Seguridad TI
http://securityandrisk.blogspot.com
http://twitter.com/itsecuriteer
Iniciativas para despertar al investigador que llevas dentro
Internet ha facilitado en muchas ocasiones que un mercado ya existente se beneficie de nuevos modelos de negocio. Este ha sido el caso del análisis de vulnerabilidades en software.
Por un lado, toda aplicación, todo programa contiene errores. Algunos de esos errores pueden ser explotados por agentes malintencionados, ya sean individuos o grupos, más o menos profesionales. La tarea de localizar esos errores no es banal. Muchos proveedores de software carecen del músculo suficiente para establecer un programa serio de detección de errores con recursos internos.
Por otro lado, gracias a Internet, cada vez se recurre más al “crowdsourcing” (Wikipedia propone como traducción al castellano “colaboración abierta”) para conseguir grandes objetivos aunando pequeños esfuerzos de muchas personas.
La unión de estas dos realidades se ha convertido en el modelo de negocio de dos compañías a las que dedico esta sección: bugcrowd y hackerone. Ambos son sitios web en los que cualquier buscador de vulnerabilidades software se puede registrar de forma gratuita, aceptar un código de conducta que incluye, por ejemplo, el compromiso de no publicar la vulnerabilidad descubierta y participar en cualquiera de los proyectos de búsqueda de errores software que presentan.
Bugcrowd y hackerone actúan como intermediarios entre las compañías cuyos sitios web o aplicaciones móviles son vulnerables y los desarrolladores avezados que encuentran agujeros de seguridad.
Las cifras que se ofrecen como recompensa en los diversos programas son generalmente modestas. Sin embargo, es atractivo para investigadores que quieran forjarse una reputación y aumentar su correspondiente valor profesional en el mercado.
Muchas compañías presentan sus programas de búsqueda de vulnerabilidades a través de estos intermediarios. Por ejemplo, hackerone tiene como clientes a Yahoo, Twitter y Square y bugcrowd a Silent Circle, LastPass o Indeed. Si bien bugcrowd tiene como clientes compañías menos conocidas que hackerone, ofrece un producto adicional también con gran potencial: la posibilidad de contratar una prueba de seguridad (“penetration test”) basado en “crowdsourcing”.
En definitiva, una posibilidad más para que los profesionales de la seguridad en el desarrollo de aplicaciones puedan dedicarse por entero a su pasión, la búsqueda de vulnerabilidades, e incluso trabajar de forma independiente.
Por cierto, una anotación final: ya se ha creado un estándar ISO sobre la publicación de vulnerabilidades de seguridad. Es el ISO/IEC 29147:2014.
