Vídeo: Puedes ver este video sin llorar?? (De novembre 2024)
Els investigadors de seguretat especialitzats en proves de penetració passen els seus dies (i nits) intentant trencar els sistemes de seguretat. Si troben un forat de seguretat en un producte abans que ho facin els dolents, li dóna temps al fabricant del producte per emetre un pegat. Què hi ha per a l'investigador? Potser una recompensa de 100.000 dòlars d’errors, si el problema es trobava en un producte de Microsoft. Investigadors de High-Tech Bridge, una empresa de proves de serveis de seguretat i penetració, denuncien que Yahoo també ofereix una recompensa d’errors. El primer reporter d’un error de seguretat verificable aconsegueix… 12, 50 dòlars, que es pot canviar només a la botiga de la companyia de Yahoo per a "samarretes, tasses, bolígrafs i altres accessoris corporatius". De debò, Yahoo?
Ràpidament esquerdat
La pàgina Web de seguretat a Yahoo informa sobre els passos de seguretat ja realitzats per l'empresa, juntament amb una col·lecció de consells. Les persones que creuen que els seus comptes han estat piratejats o compromesos poden contactar amb Yahoo des d'aquesta pàgina per obtenir ajuda. També afirma: "Si sou membres de la comunitat de seguretat i necessiteu informar d'una vulnerabilitat tècnica, poseu-vos en contacte amb: [email protected]."
Per avaluar el sistema Bug Bounty, investigadors de High-Tech Bridge es van asseure i van començar a buscar forats de seguretat als llocs web de Yahoo. En van trobar un de seguida, però ja se n'havia informat. Durant un parell de dies més, s'han trobat tres vulnerabilitats d'escriptura entre llocs web, totes noves. (No és una mica alarmant en si mateix?) Segons l'informe, "Cadascuna de les vulnerabilitats descobertes va permetre que qualsevol compte de correu electrònic @ yahoo.com es veiés compromès simplement enviant un enllaç especialment elaborat a un usuari de Yahoo connectat". Un cop l’usuari fa clic a l’enllaç, s’ha acabat el joc.
Els propis investigadors de Yahoo van comprovar que aquestes vulnerabilitats existien realment (des de llavors han estat solucionades). Van oferir a l'equip investigador un gran agraïment i un premi de 12, 50 dòlars per error, que es pot bescanviar a la botiga de l'empresa. Els investigadors no van quedar impressionats; L'informe afirma que "En aquest moment hem decidit continuar amb més investigacions".
Bounties més grans
Microsoft pagarà una recompensa de 100.000 dòlars per alguns informes. Facebook ha pagat més d’un milió de dòlars. Apple no paga recompenses d'errors, però premia la "divulgació responsable" amb fama. Per a mi, la política de fama de Apple sense diners en efectiu em sembla millor que adjudicar el canvi de trucada.
"Yahoo probablement hauria de revisar les seves relacions amb investigadors en seguretat", va comentar Ilia Kolochenko, directora general de High-Tech Bridge. "Pagar diversos dòlars per vulnerabilitat és una broma dolenta i no motivarà la gent a informar-ne de vulnerabilitats de seguretat, sobretot quan es poden vendre fàcilment al mercat negre per un preu molt més alt". Ell conclou que si Yahoo no gasta més diners en seguretat corporativa, "cap client de Yahoo mai pot sentir-se segur".
Altres empreses han requerit una producció per adonar-se que els recomptes d'errors paguen el temps important. Fa uns anys, Facebook oferia només 500 dòlars. Més recentment un investigador, negat per recompensa per Facebook, va demostrar el seu descobriment publicant-se al mur de Mark Zuckerberg. El president de l'Open Security Foundation, Brian Martin, va assenyalar que "Fins i tot Microsoft, que era el més notori en els programes de recompensa d'errors, es va adonar del valor i va saltar per davant de la resta, oferint fins a 100.000 dòlars". Va continuar dient: "Algunes d'aquestes empreses paguen més diners als consellers per netejar les seves oficines, que no pas als investigadors de seguretat en trobar vulnerabilitats que poden posar en risc milers de clients".
He d’acord. Si els venedors no pagaran els descobriments d’investigadors en seguretat, n’hi haurà, certament, altres. No volem que aquests hàbils investigadors recorrin el costat fosc per alimentar els seus fills.