Bug Bounty Programs, recompensas por la seguridad IT

Negocios

Desde que en 1995 Netscape lanza el primer Bug Bounty Program de la historia hasta que Telsa ha anunciado el suyo esta semana ha pasado mucho, mucho tiempo.

Mozilla incrementa las primas de su programa de recompensas, los llamados Bug Bounty Programs, pocos días después de que Tesla anunciara la puesta en marcha del suyo. Son dos ejemplos de cómo este tipo de acciones, que estrenó Netscape en octubre de 1995, han ido expandiéndose con el correr de los tiempos.

Los programas Bug Bounty consisten en que una empresa recompensa a los desarrolladores de software o expertos de seguridad capaces de detectar alguna vulnerabilidad o exploit contra sus aplicaciones o páginas web. De esta forma la empresa se asegura que poder parchear el problema antes de que se haga público, minimizando los riegos de sus clientes.

Decíamos que Netscape fue la primera empresa en lanzar un programa de este tipo. Su valedor fue Jarrett Ridlinghafer, ingeniero técnico de la compañía, que aseguraba que la iniciativa animaría a una “revisión abierta y extensa de Netscape Navigator 2.0”, que ayudaría a la empresa a continuar creando “productos de gran calidad”.

No parece sin embargo que la idea de Netscape, comprada por AOL en noviembre de 1998 y desmantelada por la misma en julio de 2003, sirviera de inspiración al resto de la industria. Hubo que esperar hasta 2002 para ver una acción parecida, y de la mano de la empresa de seguridad iDefense –más tarde comprada por Verising, que ofrecía 400 dólares por detectar vulnerabilidades de software, de las que luego informaba a las empresas de responsables de los mismos.

Mozilla Firefox Bug Bounty

121009_mozilla_firefox_OS_Smartphone_XLSi alguna empresa ha revolucionado los programas de recompensas, esa ha sido Mozilla. No en vano la compañía nació como un proyecto de la mano de Netscape en 1998. En 2004 se lanzó el primer programa de recompensas de la compañía, que ofrecía 500 dólares a los investigadores capaces de identificar vulnerabilidades críticas en Firefox.

El programa se mantiene vigente, con más dotación y extendido a otros productos de la compañía. De hecho, detectar vulnerabilidades en Firefox es, a partir de hoy, mucho más rentable, después de que la compañía haya anunciado un incremento de las recompensas, desde los 3.000 dólares a los 10.000 dólares.

Asegura la compañía que su Bug Bounty Program lleva ya invertidos 1,6 millones de dólares y que una de sus ventajas ha sido la de haber creado “una gran comunidad de investigadores que realmente han contribuido a la seguridad de Firefox y nuestros otros productos”.

Vupen Security

En 2004 se funda la compañía francesa Vupen Security, que demuestra que los Bug Bounty Programs son algo más que rentables, se han convertido en un negocio.

Con sede en Montpellier, Vupen es un auténtico especialista en detectar vulnerabilidades de Día Cero que vende a los grandes desarrolladores de software, algo por lo que ha sido criticada.

La compañía es uno de los asistentes fijos a concursos como el Pwn2Own, donde ganó el primer premio de forma consecutiva entre 2011 y 2014.

Iniciativa Zero Day

Un año después de que Mozilla lanzara su primer programa de recompensas, un rival de iDefense le hacía la competencia al estrenar la Zero Day Initiative (ZDI). Se trataba de Tipping Point, que también ponía en contacto a la comunidad de expertos con las empresas de software. La iniciativa aún funciona, pero en manos de Hewlett-Packard desde que en 2010 compró 3Com, en la que estaba integrada Tipping Point.

Los principales objetivos de la ZDI fueron el extender el alcance de los laboratorios de investigación de la compañía, los DVLabs, ofreciendo metodología y experiencias a otros investigadores, animar a la industria a reportar vulnerabilidades de Día Cero de una manera responsable; y proteger a los clientes.

La ZDI creció en manos de HP, que cada año lanza un informe se seguridad, el HP Cyber Risk Report, con datos recogidos de la iniciativa. El último se lanzó en mayo de este año, y recogía que durante 2014 la Zero Day Initiative reportó 400 vulnerabilidades de alto riesgo, 24 de ellas relacionadas con productos de SAP.

Pwn2OwnEn 2007, y coincidiendo con la conferencia de seguridad CanSecWest, se estrenaba el Pwn2Own Contest, un concurso que recompensa a los investigadores de seguridad que descubren fallos, o bugs, en una serie de navegadores y programas de software. El año pasado se pagaron un total de 850.000 dólares, una cifra considerable.

Con Google (2010), Barracuda (2010), Facebook (2011), Yahoo! (2014), Square )2014), Microsoft (2014), Tesla (2015), se entra en otra década, una en la que los Bug Bounty Program ya no sorprenden y se convierten en fuente de ingresos. Las primas de Google se han multiplicado por cinco desde que lanzara su programa en 2010; en cuanto a Facebook, que ofrece un mínimo de 500 dólares por cada vulnerabilidad detectada y sin tope en cuanto a la cantidad máxima, anunciaba que su programa de recompensas ya ha repartido más de dos millones de dólares.

Microsoft también cuenta con su programa de recompensas, ofreciendo hasta 100.000 dólares por vulnerabilidades críticas. En noviembre de 2013 la compañía puso en marcha el Mitigation Bypass Bounty y el BlueHat Bonus for Defense; y un año más tarde el programa “Online Services Bug Bounty program”; y posteriormente, en abril de este año, se anunciaba la extensión de los programas para incluir Azure y también el nuevo navegador que llegará con Windows 10, Microsoft Edge.

Tesla ha sido la última compañía en lanzar un Bug Bounty Program, poniendo en manos de los cazadores de recompensas hasta 1.000 dólares por detectar una vulnerabilidad en su web o en alguno de sus host, además de en sus aplicaciones móviles. Según un listado publicado por la compañía, los fallos de inyección de comandos, escalada de privilegios, vulnerabilidades SQL y XSS son los mejor pagados.

Opiniones expertas

La comunidad de desarrolladores y expertos de seguridad coincide en las ventajas de estos Bug Bounty Program, porque lo primero que hay que dejar claro es que “todos los programas tienen fallos y los van a tener siempre”, dice Luis Corrons, director ténico de Panda Security

120308_Luis_Corrons_pandaPara Dani Creus, analista de Kaspersky Lab, “estos programas no solo permiten mejorar la visibilidad de la propia empresa respecto a la seguridad de sus productos y servicios sino que además,  estimula el crecimiento de una comunidad externa que sin duda es un valor añadido de por si para el factor seguridad”.

José Bonnin, evangelista técnico de Microsoft, ha destacado que “los programas de recompensas son iniciativas excelentes para velar por la seguridad de los productos con la ayuda de la comunidad de usuarios, mientras que para Josep Albors, director del laboratorio de ESET España, “los programas de recompensas son un incentivo y, a su vez, un merecido pago para todos aquellos investigadores que reportan vulnerabilidades en sistemas y dispositivos con la finalidad de conseguir que se solucionen lo antes posible”.

Les preguntamos también a estos tres expertos si estos Bug Bounty Programs han mejorado la seguridad, algo en lo que también están de acuerdo. Albors asegura que “al premiarse esta revelación responsable se incentiva que haya más gente buscando agujeros de seguridad que reportar a los fabricantes y, de esta forma, se evita que los usuarios finales se vean afectados por delincuentes que se aprovechan de estas vulnerabilidades”.

Luis Corrons, para quien hay cada vez más expertos de seguridad dedicados a buscar agujeros, “ofrecer recompensas motiva a la gente a informar sobre ellos de una manera responsable para que puedan corregirse”.

Cada vez hay más expertos de seguridad dedicados a buscar agujeros y ofrecer recompensas motiva a la gente a informar sobre ellos para que puedan corregirse

Dani Creus también habla de revelación responsable al decir que los Bug Bounty Programs “incentivan que los participantes sigan un flujo de divulgación responsable, de manera que la empresa dispone del tiempo suficiente para parchear y solventar la vulnerabilidad  descubierta. En definitiva, todo lo que implique hacer partícipe a terceras partes de manera organizada es positivo para la seguridad”.

Finalmente, José Bonnin asegura que estos programas de recompensas permien “aprovechar la inteligencia colectiva y las capacidades de los investigadores de seguridad o hackers éticos para ampliar virtualmente nuestros equipos de trabajo y proteger aún más a nuestros usuarios”.

Lea también :

Leer la biografía del autor  Ocultar la biografía del autor