Una de las vulnerabilidades más graves fue revelada por un usuario que después de haberse conectado a un sitio web públicamente disponible, logró acceder a un sitio de uso interno de la Defensa, para el que se requería acreditación especial.
Si bien es cierto numerosas vulnerabilidades pueden ser detectadas con herramientas automáticas que utilizan técnicas como por ejemplo fuzzing, en la mayoría de los casos se comprueba que la intervención humana es totalmente decisiva. Por lo tanto, para detectar las vulnerabilidades antes que éstas sean explotadas por intrusos, es necesario disponer de los mismos conocimientos obtenidos por los hackers “black hat”.
El DoD no es la primera organización, gubernamental o privada, en ofrecer una recompensa a quienes detecten vulnerabilidades en sus sistemas. Google tiene su propia iniciativa, denominada Project Zero, mediante la cual detecta vulnerabilidades en los sistemas online o software de terceros, a quienes da un plazo de 90 días para solucionarlos, antes de darlos a conocer a la opinión pública. Project Zero ha causado molestia en Microsoft, que acusó a Google de usar Project Zero “para jactarse”. La respuesta de Google fue revelar una nueva vulnerabilidad de Windows.
HackerOne es una empresa fundada por ex ejecutivos de seguridad de Facebook, Google y Microsoft, entre quienes figura Chris Evans, uno de los fundadores de Project Zero y Marten Mickos, quien dirigió el proyecto MySQL hasta que la empresa fue adquirida por Sun Microsystems en 2008. La semana pasada, HackerOne presentó un informe (descarga requiere registro) donde analiza los datos generados por los aproximadamente 800 servicios de recompensa que ofrece en representación de clientes. Según Wikipedia, en la cartera de clientes de HackerOne figuran empresas como Twitter, Adobe, Yahoo, LinkedIn, Airbnb, Lufthansa, Snapchat, Qualcomm, General motors, Uber y Nintendo. HackerOne se refiere a sus actividades como “seguridad habilitada por hackers”. Desde su fundación, en 2012, HackerOne ha procurado la solución de aproximadamente 50.000 vulnerabilidades notificadas mediante el sistema de recompensa que gestiona.
En los últimos años, empresas de TI como Microsoft y Facebook han lanzado iniciativas similares a Project Zero de Google. Sin embargo, entre los programas de recompensas establecidos en 2016, el 41% correspondía a organizaciones no tecnológicas, como por ejemplo autoridades gubernamentales, empresas mediáticas y de entretenimiento, banca y finanzas, etc.
Aunque el DoD marcó un récord al recibir el primer resultado después de cinco minutos, no es inusual que estos programas de recompensas brinden rápidos resultados. Según HackerOne, el 77% de los programas considerados en la investigación recibieron los primeros informes antes de transcurridas 24 horas.
En lo relativo al importe de las recompensas, HackerOne da cuenta de un considerable reajuste observado en los últimos años, lo que atribuye a la creciente dificultad en encontrar vulnerabilidades en el software de actores que llevan tiempo participando en estos programas de recompensas.
En aproximadamente el 60% de las iniciativas cubiertas por el informe, las notificaciones de vulnerabilidades críticas son recompensadas con US$ 1000 en promedio. También ha habido casos en que la recompensa alcanzó los US$ 100.000, cuando se ha tratado de vulnerabilidades detectadas mediante exhaustivos y laboriosos análisis de seguridad.
En cuanto al destino de los pagos girados durante el último año, casi la tercera parte tuvo como destinatarios expertos estadounidenses. India se sitúa en un segundo lugar, con 1,8 millones de dólares.
Preferencia por los sistemas privados
Uno de los retos con los sistemas de recompensa de acceso público; es decir, donde todo interesado puede participar, es que gran parte de las notificaciones recibidas son inservibles. Esta situación ha llevado a HackerOne a crear sistemas “privados” o cerrados. En la práctica, esto implica que los interesados en participar deben primero probar que cuentan con la capacidad y confiabilidad necesaria. Por ejemplo, se les solicita documentar su trabajo en la detección de vulnerabilidades. Como podría esperarse, esta medida ha resultado en una considerable reducción de las notificaciones inservibles.
El sistema puede ser costoso para las empresas participantes, que no sólo deben desembolsar las recompensas en sí, sino también pagar por su administración y seguimiento. Sin embargo, la alternativa es, en muchos casos, la pérdida de datos valiosos o el sabotaje de sistemas. Los incidentes de seguridad no sólo resultan en perjuicio económico, sino también en un daño a la reputación de la empresa. Otro perjuicio, relevante en algunos países y regiones, como la Unión Europea, es que las empresas pueden recibir fuertes multas de las autoridades en caso de haber perdido información personal de sus usuarios o clientes, por negligencia o procedimientos insuficientes.
¿Quiénes son los hackers?
En el informe de HackerOne se hace referencia a uno de sus anteriores informes, publicado en 2016, sobre el perfil de los hackers éticos. HackerOne tiene una base de datos con más de 100.000 hackers registrados. El 60% de ese total dice dedicar menos de 20 horas a la semana a estas recompensas, lo que sugiere que no constituye su ocupación principal. El 24%, en tanto, dice dedicarse a la actividad al menos 40 horas por semana; es decir, son hackers “white hat” de jornada completa.
Fotografía (c) Seyomedo vía Shutterstock
