Fuente: www.hackerone.com – Autor: ktansley@hackerone.com. En nuestro evento web “Getting Vulnerable”, reunimos a los administradores de programas Jill Moné-Corallo de GitHub, Garrett McNamara de ServiceNow y Ansgar Pfeifer y Matthew Bryant (también conocido como Mandatory) de Snap, junto con los mejores hackers de GitHub y los programas de ServiceNow @rijalrojan. y @man4bob. Le invitamos a ver el seminario web a pedido aquí o leer nuestras conclusiones clave a continuación. Conclusiones clave para los directores de programas: la comunicación y el compromiso son fundamentales. Los piratas informáticos enfatizan la importancia de una comunicación clara y consistente para mantenerlos involucrados, y una disminución sostenida en la capacidad de respuesta puede hacer que los piratas informáticos dejen de dedicar tiempo a un programa. Comprender las motivaciones de los piratas informáticos (de reputación, monetarias, etc.) puede ayudar a incentivar la participación, pero la comunicación es vital para garantizar que ambas partes aprovechen al máximo la relación. Las mejores prácticas incluyen discusiones directas sobre errores específicos, proporcionar una razón cuando se reduce la gravedad de los informes, mantener un diálogo regular con los piratas informáticos de su programa y fomentar oportunidades para que los principales piratas informáticos se reúnan con los administradores del programa en eventos. “La razón principal por la que decidí dejar los programas en el pasado ha sido el aspecto de la comunicación. Si es difícil piratear la plataforma o el producto, siempre me encantará piratearlo, pero si los tiempos de comunicación y clasificación empeoran, tiendo a ralentizar mis informes. A veces la gente deja una empresa y llega una nueva persona y cambia la forma en que clasifican y responden a los piratas informáticos, y si eso cambia drásticamente, me iré”. – @rijalrojan “Es bueno escuchar alguna validación de que el lado de la comunicación es tan importante como decimos internamente. Hay mentalidades muy similares entre todos los involucrados: las personas que clasifican los informes y los piratas informáticos que los envían”. – La evaluación y adaptación periódicas obligatorias y rápidas del programa mantienen a los piratas informáticos interesados. En un mundo con miles de programas de recompensas por errores, los piratas informáticos pueden elegir dónde pasan su tiempo. Para seguir siendo competitivos y atractivos para los piratas informáticos, los administradores de programas deben analizar continuamente sus tendencias de vulnerabilidad, su tabla de recompensas y cómo se comparan con otros programas. GitHub, ServiceNow y Snap destacaron ejercicios como ampliar el alcance en función de la actividad de fusiones y adquisiciones, aumentar las recompensas a lo largo del tiempo a medida que se eliminan las vulnerabilidades más comunes y ejecutar promociones para alinearse con los lanzamientos de productos o vulnerabilidades recientemente descubiertas. “Hacemos una revisión trimestral y analizamos las tendencias de nuestro programa, y ​​también comparamos otros programas para asegurarnos de que sigamos siendo competitivos”. – Jill Moné-Corallo, GitHub “Algo que hemos hecho en el pasado es crear promociones en las que agregamos cosas nuevas a nuestro alcance o pagamos una bonificación por ciertas vulnerabilidades como Log4j. Hemos visto una alta tasa de éxito y un aumento de presentaciones relacionadas con esos esfuerzos”. – Ansgar Pfeifer, Snap La importancia de las divulgaciones y la reputación. La mayoría de los administradores de programas y piratas informáticos ven la divulgación pública como una situación en la que todos ganan: el investigador que la divulga obtiene reconocimiento por su trabajo y la empresa obtiene publicidad gratuita para su programa de recompensas por errores. Colectivamente, el énfasis está en crear un entorno de confianza donde los piratas informáticos se sientan cómodos para revelar sus hallazgos en colaboración con los administradores del programa, y ​​donde las empresas vean la divulgación no como un punto destacado de sus fallas, sino como un testimonio de su postura de seguridad. Esta es una característica que hace que el ámbito de la ciberseguridad sea tan único: incluso los competidores de la industria comparten inteligencia sobre vulnerabilidades, con la esperanza de hacer que Internet sea un poco más seguro. “Me encanta hacer publicaciones de blog por diversión o por las vulnerabilidades interesantes que encuentro. Con GitHub, la vulnerabilidad que encontré en diciembre fue emocionante porque terminó afectando a la propia plataforma GitHub. Le pregunté al equipo de GitHub y obtuve su permiso en abril para revelarlo. Como hacker, ayuda desde el punto de vista de la reputación y de la marca a mostrar las vulnerabilidades que estás encontrando”. – @rijarrojan Conclusiones clave para los piratas informáticos: los informes procesables son mejores para todos. Los piratas informáticos que proporcionan informes de vulnerabilidad procesables pueden posicionarse como socios a largo plazo para los administradores de programas. Garantizar que sus informes sean detallados y fáciles de entender ayuda a que sus informes se clasifiquen, solucionen y recompensen más rápidamente. Las mejores prácticas son incluir todos los detalles necesarios, un formato claro, vídeos o cualquier otra información que facilite al equipo del programa entender cómo reproducir las acciones del hacker. Finalmente, cuando un pirata informático puede determinar el impacto del error y cómo un atacante malintencionado podría abusar de él, ayuda al administrador del programa a defender la puntuación de gravedad internamente. “Tú, como hacker, sabes lo que estás haciendo al otro lado de la pantalla. Estamos tratando de reconstruir su proceso con lo que nos proporciona en el informe. Facilítenos visualmente seguir sus pasos para reproducir el error. Cármanos con todos los detalles que puedas brindarnos”. – Jill Moné-Corallo, GitHub “Al escribir un informe, no omita nada. Cuando leemos cada informe, intentamos determinar el impacto del error si una persona malintencionada abusó de él. Si el investigador puede aclarar de antemano que este informe es para un IDOR, lo probé así, enumeré los ID así, aquí estaba mi solicitud HTTP, entonces podremos evaluar el impacto rápidamente y recompensar la recompensa en la clasificación”. – Obligatorio, Snap Genere confianza con los administradores de programas. A pesar de la tendencia de las palabras de moda de “confianza cero”, esta industria depende de la confianza. Los piratas informáticos pueden generar confianza con los gerentes de programas comunicándose de manera clara y profesional, manteniéndose dentro del alcance y la política y conectándose con los gerentes de programas en eventos y conferencias. Los administradores de programas a menudo buscan hackers ancla que muestren las características anteriores, y estos hackers son la primera opción para programas VIP o de acceso especial. “Otra cosa que estamos haciendo con algunos de nuestros investigadores más útiles es darles cuentas premium para las nuevas tecnologías que hemos adquirido y que queremos agregar al alcance del programa de recompensas. Hay un pequeño impulso logístico para ponerlo en marcha, pero tenemos buenos datos sobre quién está realmente activo en nuestro programa y quién está informado sobre la tecnología de nuestra plataforma, lo cual es un excelente punto de partida para nosotros y para los investigadores”. – Garrett McNamara, ServiceNow “ServiceNow en realidad me dio la oportunidad de conocer al equipo en 2019 en una conferencia en Las Vegas. Fue maravilloso reunirme con el equipo y aprendí mucho de ellos”. – Las plantillas @man4bob permiten la eficiencia. Las plantillas de núcleos surgieron de esta conversación como una conclusión inesperada, tanto para los hackers como para los administradores de programas. Desde el punto de vista de los piratas informáticos, estas plantillas simplifican la documentación de su trabajo y la prueba de cada error en una amplia gama de hosts. Para los administradores de programas, recibir un informe que incluya una plantilla o secuencia de comandos permite una reproducción más sencilla del error en su entorno. Dado que ambos lados de la mesa hablan un lenguaje similar (YAML, en este caso), la reproducción y el pago de recompensas pueden ocurrir más rápido. “Hubo casos en los que encontré que varios hosts eran vulnerables de maneras ligeramente diferentes. Entonces, cada host revelaba los puntos finales de la API de administración sin autenticación, y había una forma específica de identificarlos a escala para esa empresa. Terminé adjuntando una plantilla de Nuclei y un script que escribí para explotar automáticamente la vulnerabilidad y luego escribir un informe para mí. La plantilla y el script que les proporcioné les ayudaron a encontrar todos los casos de esa vulnerabilidad en su entorno”. – @rijarrojan Esta conversación entre hackers y administradores de programas de recompensas por errores ilustró la importancia de la comunicación, la reputación y la adaptabilidad en este campo. Estamos inmensamente agradecidos a todos los participantes por sus sinceras reflexiones y esperamos que este discurso fomente una mayor colaboración e intercambio de conocimientos entre hackers y administradores de programas. Nuestra conclusión final es esta cita imperecedera de Jill Moné-Corallo: “Al final del día, todos somos humanos en cada lado de la computadora”. URL de la publicación original: https://www.hackerone.com/best-practices/a-conversation-between-hackers-and-program-managers