7 pagaments importants de recompensa d’errors

Les primeres empreses tecnològiques a oferir recomptes d’errors -que s’ofereix el pagament als pirates informàtics que presenten vulnerabilitats en el codi- van ser els fabricants de navegadors web; Netscape va començar les coses el 1995 i Mozilla va fer el mateix el 2004.

L’objectiu és aconseguir que els pirates informàtics informin una empresa de risc sobre un error abans que la explotació sigui coneguda públicament. És una victòria per als hackers i les empreses: per què bloquejar els dolents quan els hackers més mercenaris poden ajudar a la seguretat?

En els darrers anys, la caça d'errors s'ha convertit en grans empreses amb jugadors com Google, Facebook, Yahoo i Microsoft, oferint grans sumes. Des d’aleshores s’han sumat a la festa molts altres, com Tesla, Yelp, Reddit, Square, 1Password i Uber, però les despeses d’errors no es limiten a les empreses de tecnologia. Les entitats governamentals, financeres, sanitàries i governamentals ofereixen recompenses perquè estan desesperats per mantenir-se davant de la propera infracció important.

Les recompenses d’errors s’han tornat tan habituals que existeixen corredors de tercers com Bugcrowd i HackerOne per connectar els hackers amb diners de recompensa. Tal com es detalla a l’informe HackerOne HackerOne 2018, la companyia ha pagat més de 23 milions de dòlars als 166.000 hackers de la seva xarxa, que han solucionat més de 72.000 vulnerabilitats. És una bona feina: per molts diners, un diner i una reputació costen molt a una empresa.

Segons l'informe, el nombre d'usuaris registrats a la comunitat HackerOne només ha explotat per deu.

Naturalment, també hi ha alguns aspectes negatius. L’Èxode Intel·ligència, per exemple, ofereix bonificacions superiors a les grans empreses. A continuació, ven una subscripció a empreses que inclou aquesta informació sobre els errors. Això no és necessàriament dolent: és important trobar vulnerabilitats. Però, com assenyala Lisa Vaas, de Sophos, "els clients de corredors d’explotació podrien estar del costat dels bons nois –diguem, venedors d’antivirus que volen protegir la gent dels forats recentment descoberts– o que podrien estar en l’ofensiva, interessats a utilitzar no divulgats. Explota els propis sistemes.

A continuació, feu una ullada a alguns dels pagaments més importants que encara hi ha en el gran camp de recomptes d'errors. Si coneixeu sobre els millors beneficis, feu-ho saber als comentaris.

Jurament / Verizon Media

A l’abril de 2018, l’organització coneguda anteriorment com a Oath Inc. va repartir entre 400.000 i 40 participants a l’acte de pirateria en directe H1-415 de HackerOne. Oath / Verizon Media, que és propietari de Yahoo i AOL, després va repartir 400K dòlars més en un esdeveniment separat el novembre de 2018 als pirates informàtics que van identificar 159 vulnerabilitats de seguretat crítiques.

Després de l’èxit d’aquests esdeveniments de recompensa d’errors, la companyia va crear un programa consolidat de recompensa d’errors, que va pagar 5 milions de dòlars el 2018 a hackers i investigadors que van trobar errors de diversos nivells d’amenaça a diverses plataformes. ( Foto de Noam Galai / Getty Images per Verizon Media )



Microsoft

Microsoft va assolir una fita l'any passat amb 2 milions de dòlars en pagaments de recompenses d'errors, després dels quals va deixar de publicar informació sobre els recomptes individuals, a més dels imports i la gravetat dels casos. Però el recompte més gran atorgat a una sola persona que coneixem és Vasilis Pappas, que va rebre 200.000 dòlars el 2012 quan era estudiant de doctorat a la Universitat de Columbia. Pappas va presentar solucions per a un problema de programació orientat al retorn que els pirates informàtics utilitzaven per evitar controls de seguretat i van crear kBouncer, un programa que mitiga qualsevol cosa que sembli ROP.



Google

El programa de recompenses de vulnerabilitat de Google data del 2010. Ha pagat més de 15 milions de dòlars, dels quals 3, 4 milions de dòlars es van adjudicar el 2018 (i 1, 7 milions de dòlars centrats en els errors a Android i Chrome). L’abonament únic més gran l’any passat va ser un recompte de 41.000 dòlars a un investigador no especificat. De les recompenses públiques, Ezequiel Pereira, de 19 anys, procedent de l’Uruguai, va rebre 36.000 dòlars per descobrir un error d’execució de codi remot a la consola Cloud Platform de Google.



HackerOne Millionaire

Per si la història de Pereira no fos suficient, cal esmentar un altre sud-americà de 19 anys que mata el joc de recompenses d’errors: l’argentí Santiago López, la primera persona que guanya un milió de dòlars en beneficis a la plataforma HackerOne. El hacker autodidacte diu que va començar començant veient vídeos de YouTube i llegint blocs pel seu compte, però el que va provocar el seu interès en la pirateria? Què més? La pel·lícula de 1995 Hackers . ( Foto de United Artists / Getty Images )



Facebook

Per a una empresa que ha experimentat uns quants salts de seguretat al llarg dels anys, no és del tot sorprenent que Facebook estigui desitjós de localitzar i abordar les llacunes i les explotacions del seu codi. El programa de recompenses d’errors de la xarxa social ha pagat 7, 5 milions de dòlars des de la seva creació el 2011. L’anterior rècord de Facebook de més gran pagament únic va ser per a Andrew Leonov, un investigador de seguretat rus que va rebre 40.000 dòlars per descobrir un defecte de seguretat en un programari de seguretat de tercers que podria afectar el propi Facebook. El nou rècord de rècords es va produir l'any passat: es van produir 50.000 dòlars interessants per a una persona.



Departament de Defensa dels Estats Units

Durant un mes el 2016, la DoD sota l'administració d'Obama va dir literalment: "Pirateu el Pentàgon!" Dos-cents cinquanta pirates informàtics van patir errors en els sistemes de l'agència i van trobar 138 vulnerabilitats que val la pena tancar-se. El pagament total als pirates informàtics va ser de 150.000 dòlars, que llavors la secretària de Defensa, Ashton Carter, va dir que tenia uns 850.000 dòlars menys del que hauria costat obtenir una auditoria de seguretat professional.

El 2018, el Departament de Defensa va ampliar el hackathon fins a una sèrie de nous programes allotjats per HackerOne, que van dirigir els sistemes de govern propietat de l'Exèrcit, la Força Aèria, els marins i el sistema de viatges en defensa. Van atorgar 500.000 dòlars combinats als pirates informàtics que van descobrir prop de 5.000 vulnerabilitats úniques a les bases de dades i llocs web del govern.



United Airlines: 1 Milió de Milles

United Airlines no dóna diners en efectiu, però us proporcionarà milles lliures. Molts d'ells. L'any passat es van adjudicar diverses milles de volants, entre les quals hi havia Olivier Beg, un investigador de seguretat de 19 anys dels Països Baixos que va rebre 1 milió de milles per trobar al voltant de 20 insectes diferents en els sistemes de la companyia aèria. ( Foto de Nicolas Economou / NurPhoto a través de Getty Images )