Las plataformas de recompensas de errores HackerOne, Bugcrowd y Synack sirven como intermediarios entre los piratas informáticos blancos y las empresas que desean mejorar la seguridad de sus productos. Cuando se usa correctamente, la lógica es simple:- Un hacker informa de una vulnerabilidad.
- La empresa de desarrollo corrige el error y le recuerda al pirata informático una recompensa en agradecimiento por el hecho de que hizo lo correcto.
Pero en realidad, todo funciona de manera diferente. Como lo demostró la investigación de las OSC , las compañías y las plataformas de recompensas de errores volcaron la divulgación de vulnerabilidades tanto que muchos expertos, incluida la ex directora de políticas de HackerOne, Katie Mussouri, llaman a esto una "perversión".En resumen, en lugar de corregir errores, las empresas dan prioridad al soborno de los piratas informáticos, obligándolos a firmar la NDA como requisito previo para pagar la remuneración. Esto cambia fundamentalmente la lógica de lo que está sucediendo.Procedimiento de divulgación de vulnerabilidad
El programa de divulgación de vulnerabilidad (VDP) es un requisito casi obligatorio para muchas empresas. Por ejemplo, la Comisión Federal de Comercio de los Estados Unidos recomienda a las empresas que adopten dichos procedimientos y multas por prácticas de seguridad deficientes. El año pasado, el Departamento de Seguridad Nacional ordenó a todas las agencias civiles federales que introdujeran procedimientos de divulgación de vulnerabilidad.Sin embargo, para cualquier agencia o empresa, VDP es un gran dolor de cabeza. El procedimiento es el siguiente: los investigadores de seguridad informan un error y le dan un máximo de 90 días para solucionarlo. Cuando se acaba el tiempo, llaman a algunos de sus periodistas favoritos y publican información completa sobre la vulnerabilidad en Twitter, y también hablan en la conferencia Black Hat o DEF CON, si esto es realmente un error jugoso.Por un lado, el procedimiento de divulgación de vulnerabilidad proporciona un cierto equilibrio entre los intereses de la empresa, la sociedad y los propios investigadores de seguridad, que reciben reconocimiento por su trabajo. Sin embargo, hay una serie de empresas que pueden estar preocupadas por el precio de sus acciones y / o reputación, por lo que prefieren pagar dinero para deshacerse de la necesidad de informar al público.Las plataformas de recompensas de errores ofrecen a las organizaciones una alternativa tentadora. Los investigadores informan vulnerabilidades en los acuerdos de confidencialidad (NDA). Literalmente se les paga por el silencio. Entonces la empresa hace lo que quiere. Tal vez corrija estos errores que informó si lo desea. Puede que no lo solucione, pero tiene prohibido hablar de ello.El silencio es una mercancía.
El silencio es una mercancía. Y parece que este producto tiene demanda en el mercado. La demanda crea oferta. Por lo tanto, las plataformas de recompensas de errores han ampliado sus actividades de tal manera que ofrecen a los clientes lo que están dispuestos a pagar.La ex directora de políticas de HackerOne, Katie Mussouri, cree que la raíz del problema es la comercialización de plataformas de recompensas de errores que buscan un crecimiento exponencial. Por ejemplo, la administración de HackerOne estableció el objetivo de reunir 1,000,000 de hackers en la plataforma. Es importante para ellos atraer tantas compañías de cualquier tamaño como sea posible bajo cualquier condición, bajo remuneración.
Katie Mussouri, ex directora de políticas de HackerOne, fundadora de Luta Security"Estas plataformas de búsqueda de vulnerabilidades comerciales ... están pervirtiendo todo el ecosistema, y quiero que se detenga incluso si lo pago yo mismo", dice Mussouri. Como una de las líderes de HackerOne, recibió una opción sobre acciones y puede contar con una generosa recompensa en caso de una oferta pública exitosa de acciones de HackerOne. "Apelo a pesar de mi ganancia financiera personal".Otros expertos independientes coinciden en que el secreto perjudica la seguridad de la información: “Las recompensas se hacen mejor transparentes y abiertas. Cuanto más intentes clasificarlos y aceptar el NDA, menos efectivos se vuelven, más se trata de marketing, no de seguridad ”, dice Robert Graham de Errata Security.Jonathan Leitschuh está de acuerdo con él, quien el año pasado reveló una vulnerabilidad catastrófica en el programa de videoconferencia Zoom (instalación de un servidor web en un host local sin el conocimiento de un usuario con ejecución remota de comandos).Un exploit simple cuando Zoom está en un host local:<img src="http://localhost:19421/launch?action=join&confno=492468757"/>
Activación de cámara web sin permiso del usuario:<iframe src="https://zoom.us/j/492468757"/>
Jonathan Leitschuh notificó a la compañía el 26 de marzo de 2019, pero no solucionó la vulnerabilidad, por lo que exactamente 90 días después, el pirata informático publicó un artículo con una descripción en el dominio público. La información se difundió ampliamente e hizo ruido. Después de eso, la compañía lanzó instantáneamente un parche.Pero el hacker no recibió una recompensa. “Este es uno de los problemas con las plataformas de recompensas de errores en la forma en que existen en este momento. Permiten a las empresas evitar un período de divulgación de 90 días ”, dice. - Muchos de estos programas desarrollan su negocio sobre esta idea de no divulgación. Al final, parece que están tratando de comprar el silencio del investigador ".Recompensa por errores privados
Los acuerdos de confidencialidad de la plataforma, como HackerOne, prohíben incluso mencionar la existencia de programas privados de recompensas por errores. Un tuit como "La empresa X tiene un programa privado en Bugcrowd" es suficiente para sacar al hacker de la plataforma.Los hackers son silenciados por un látigo y una zanahoria. Donde la zanahoria es comprensible, esto es dinero. Pero hay un látigo: por la violación del acuerdo de NDA, los investigadores pueden ser responsables, incluido el enjuiciamiento penal. La misma responsabilidad amenaza teóricamente a los piratas informáticos que, bajo su propio riesgo y riesgo, publican información sobre vulnerabilidades sin celebrar ningún acuerdo con la empresa, sino que simplemente se guían por principios generalmente aceptados de ética de piratas informáticos y un estatuto de limitaciones de 90 días a partir de la fecha de notificación de la empresa.En 2017, el Departamento de Justicia de EE. UU. PublicóDirectrices para la protección de los investigadores de seguridad. De acuerdo con la lógica del documento, las sanciones severas por piratería ilegal no deberían aplicarse a un ciudadano preocupado por la seguridad pública y que realiza la piratería en interés público, tratando de hacer lo correcto. Pero esta pregunta permanece ante el tribunal. Si el hacker quiere una protección legal garantizada contra el enjuiciamiento, debe firmar el NDA, de lo contrario se enfrentará a una pena de prisión de diez años o más de acuerdo con la Ley de Fraude y Abuso Informático, CFAA. Así es como se deben entender las recompensas de errores privados.Por ejemplo, tome PayPal. En el sitio web oficial indicadoque cada investigador debe crear una cuenta de HackerOne y aceptar los términos de su programa privado de recompensas de errores, incluido el NDA. Si informa un error de alguna otra manera, PayPal se niega a garantizar su seguridad y no excluye la presentación de un reclamo.Es decir, sólo se puede informar de una vulnerabilidad por la firma de un acuerdo de confidencialidad, y nada más. "Al enviar una solicitud o aceptar los términos del programa, usted acepta que no puede divulgar públicamente sus hallazgos o el contenido de su solicitud a terceros de ninguna manera sin el consentimiento previo por escrito de PayPal", dice el documento .
Programas privados similares con NDA también están disponibles para otras compañías que pagan recompensas a través de HackerOne.Esto es inaceptable desde el punto de vista de la Electronic Frontier Foundation: "El EFF cree firmemente que los investigadores de seguridad bajo la Primera Enmienda [a la Constitución de los Estados Unidos] tienen el derecho de informar sobre su investigación, y que revelar vulnerabilidades es muy útil", dice Andrew Crocker, abogado principal de la Fundación. fronteras electrónicas Según él, muchos investigadores de seguridad líderes se niegan a trabajar en plataformas de recompensas de errores debido a la necesidad de firmar el NDA.Por ejemplo, Tavis Ormandy, un hacker acreditado del proyecto Google Project Zero, tomó esta posición. Tavis se niega a firmar el NDA, prefiriendo el correo electrónico: "Es posible que no lean mis informes si no quieren ", dice . El temporizador de 90 días sigue funcionando.
Tavis Ormandy no es el único investigador de seguridad que se niega a bozal, escribe CSO.Kevin Finisterre (@ d0tslash) rechazó $ 30,000 porque DJI requirió firmar una NDA para pagar una tarifa, y no lamenta su decisión. Porque gracias a la divulgación de información, Kevin ganó fama y respeto en la comunidad de seguridad de la información, y al comienzo de su carrera vale mucho.Al final, la existencia de la NDA no cumple con las normas ISO 29147 e ISO 30111, que definen las mejores prácticas para recibir informes de vulnerabilidad, corregir estos errores y publicar recomendaciones. Katie Mussouri es coautora de estos estándares y asegura que las recompensas de errores privados por definición no pueden cumplir con estos estándares, que describen las reglas para recibir y procesar información para una empresa: “Cuando la no divulgación es un requisito previo o una condición para informar errores a través de la plataforma de recompensas de errores, esto Viola fundamentalmente el proceso de divulgación de vulnerabilidad descrito en el estándar ISO 29147, dice Moussouri. "El propósito de la norma es hacer posible informar sobre vulnerabilidades y [resaltar] la emisión de recomendaciones para las partes afectadas".La teoría de divulgación de vulnerabilidad argumenta que el riesgo a corto plazo de divulgación pública se ve compensado por los beneficios a largo plazo de la reparación de vulnerabilidades, la mejor información a los usuarios y las mejoras de seguridad sistémica.Desafortunadamente, plataformas como HackerOne no siguen estos principios. En su publicación de blog, Los cinco componentes críticos de una política de divulgación de vulnerabilidad, HackerOne explica a los clientes cómo callar a los investigadores de seguridad. En particular, se recomienda no indicar el período después del cual los investigadores pueden informar públicamente sobre su trabajo:
Según Mussouri, las organizaciones maduras pueden y deben adoptar sus propios programas de divulgación de vulnerabilidades. Si están listos para una avalancha de mensajes de error dudosos, opcionalmente pueden establecer una recompensa de recompensa por errores, pero los intermediarios representados por HackerOne son de poca ayuda: "Les dije antes de irse", dice Mussouri, "si ustedes pueden simplificar la comunicación entre investigadores y vendedores, eso es bueno. Pero si está tratando de vender el control, entonces está haciendo lo incorrecto ".
