Vídeo: Facebook Hacker Cup 2020 Qual' (2nd place) (De novembre 2024)
Què obteniu quan poseu alguns hackers a una habitació i els feu una llista dels llocs web objectius? Van a caçar insectes!
Això va ser el que va succeir a Bug Bash 2013, un "hack-a-thon a tot Internet" dirigit per Bugcrowd a la conferència AppSec USA a Nova York a principis d'aquesta setmana. Aproximadament 80 persones van participar al llarg de tres nits, i "centenars" van participar de forma remota a través d'Internet, va dir Casey John Ellis, fundador i conseller delegat de Bugcrowd. Els participants van enviar els errors que van identificar a Bugcrowd i l’equip va replicar les condicions que van provocar l’error per confirmar el problema.
La llista d’objectius incloïa empreses com Facebook, Google, Etsy, Prezi i Yandex. Ellis va dir que els verificadors de seguretat que van participar van identificar més de 220 errors. En la seva majoria, els problemes van ser de la varietat mundana de l'execució del molí, incloent-hi algunes vulnerabilitats d'injecció i bypass.
"Encara no he sentit a parlar de vulnerabilitats exòtiques, però encara estem analitzant les nostres dades", va dir Ellis.
Bugcrowd té previst publicar més detalls sobre el tipus d’errors descoberts i informació sobre l’esdeveniment en una data posterior. La startup amb seu a San Francisco executa programes on grups de persones col·laboren per trobar errors a llocs web i aplicacions. Un cop confirma que els errors que es denuncien són legítims, gestiona el procés de notificació als venedors adequats.
Bounties d’errors
Els programes de recompensa d'errors són cada cop més populars, ja que les empreses animen els investigadors a enviar-los directament informes d'errors, en lloc de vendre-los al govern o oferir-los a explotar els corredors. No informar l’error al venedor significa que el comprador pot utilitzar aquestes vulnerabilitats per als seus propis propòsits i deixa als usuaris sense protecció d’aquest defecte del programari.
Mozilla i Google probablement tinguin els programes de recompensa d’errors més coneguts, però moltes altres empreses ofereixen ara algun tipus de programa (una llista llarga, però no completa, és aquí). Facebook va anunciar a l'agost que havia pagat un milió de dòlars en recompenses durant els darrers dos anys.
No tots els errors s’apliquen a aquests programes. Per exemple, Facebook deixa clar que el seu programa només cobreix problemes que podrien "comprometre la integritat de les dades dels usuaris de Facebook, eludir les proteccions de privadesa de les dades dels usuaris de Facebook o habilitar l'accés a un sistema dins de la infraestructura de Facebook". Microsoft va llançar una sèrie de premis recentment i va ser molt específica pel tipus de problemes que buscava.
Bug Bash 2013
En aquest moment és difícil estimar quant valen els errors descoberts com a part de Bug Bash en total, ja que els programes de recompensa de bugs varien tan àmpliament en quant paguen. Alguns programes paguen diversos centenars de dòlars i altres paguen diversos milers de dòlars. També és important tenir en compte que cada empresa té regles específiques sobre el que reconeixen com a error i quins tipus de problemes es tracten del programa de recompensa d'errors.
Tot i que s'han enviat 220 errors, el venedor depèn de si el problema és capaç de pagar. I fins i tot si hi ha un pagament, també correspon al venedor decidir l’import. No obstant això, encara que cadascun dels més de 200 insectes valgui només uns centenars de dòlars, això no està malament durant unes hores de treball durant tres dies.
Durant els esdeveniments, els representants de Facebook van estar presents, per donar a conèixer els seus programes de recompensa d'errors, així com per respondre a les preguntes dels participants.
Les persones que havien assistit a sessions de formació aprenent sobre diferents tècniques s’aturaven per participar en el hack-group, va dir Tom Brennan, membre del consell de la Fundació OWASP i un dels organitzadors d’AppSec USA. La gent col·laborava mentre treballava en objectius i es demanava ajuda. Trobar errors no és un procés automatitzat, ja que realment requereix que la gent pensi en el que estan veient i que ajusti les seves tècniques en conseqüència. Brennan va dir que un entorn de col·laboració on la gent pot rebotar idees les unes de les altres pot ser "molt eficaç" per a la caça d'errors.