Hace treinta años, Netscape inició el primer programa comercial de recompensas de errores. Desde entonces, las empresas grandes y pequeñas han comprado la idea, con resultados mixtos. Las recompensas de errores parecen simples: un buscador de defectos ve una vulnerabilidad, la revela responsablemente y luego obtiene una recompensa por su trabajo. Pero en las últimas décadas, se han transformado en una variedad de formas para sistemas comerciales y gubernamentales, utilizando diferentes técnicas y plataformas de pago, y algunas configuraciones son mucho más efectivas que otras. Las recompensas de errores comerciales se extendieron lentamente al principio, y la idea inicialmente estaba llena de peligro para los investigadores. Algunas compañías demandaron a los extraños que encontraron problemas con su software. En 2005, el investigador de Sistemas de Seguridad de Internet (ISS) Michael Lynn y los organizadores de la Conferencia de Seguridad de Black Hat en Las Vegas recibieron una orden de restricción sobre su charla planificada sobre fallas serias en el software de enrutador iOS de Cisco. Lynn renunció a ISS y de todos modos entregó la presentación, mientras que los representantes de Cisco pasaron ocho horas desgarrando físicamente páginas que describían la charla fuera del manual de la conferencia. Pero ese mismo año, el punto de inflexión comenzó la iniciativa de cero día, pagando vulnerabilidades de alto impacto con pruebas de trabajo de conceptos. La práctica entró en modo turbo cuando varios gigantes tecnológicos recogieron la práctica, dirigida por Google en 2010, Facebook un año después, y luego el Biggie – Microsoft – en 2013. Mientras que algunas compañías optaron por ejecutar sus propios programas de recompensas, otras subcontrataron a las plataformas como las plataformas como las plataformas como las plataformas y Bugcrowd, ambas comenzaron en 2012. Pero la opción de la opción de elegir depender mucho de su organización y su organización. ¿Clasificarlo internamente o outsourcing? Para las organizaciones más grandes con una gran base de usuarios, la mejor opción es ejecutar principalmente su propio esquema. Katie Moussouris, quien convenció a Microsoft para que siguiera la ruta de la recompensa de insectos después de una pelea de tres años (un proceso que describió similar a «Hervir una rana»), dirigió la primera competencia de piratería del Pentágono y fue directora de políticas de Hackerone. Ahora es la CEO de Luta Security, una consultora de recompensas de errores. «Si eres alguien como un Apple, Google o Microsoft, donde la sensibilidad de tus errores es tan alta, no quieres [third-party] Plataformas que triando sus errores «, nos dijo.» Tampoco quieres que alberguen los insectos en absoluto. Cualquier vulnerabilidad en esa plataforma de terceros expone sus errores. «Las organizaciones más grandes tienen una serie de otras ventajas, explicó. La mayoría de los programas de recompensa de errores arrojan una gran cantidad de falsos positivos o fallas menores que no son realmente serias, y las organizaciones más grandes, o aquellos con una inclinación de seguridad, tienen el personal de TI para clasificar el trigo de los tratos de la paja. Programas. nosotros. Hicimos el análisis de costos y pensamos que si esta persona encuentra tantos errores de manera consistente por mes, estamos perdiendo dinero si no los contratamos; Están haciendo más de lo que el salario de un ingeniero de APPSEC sólido sería solo para encontrar errores «. Pero contratar buscadores de errores dedicados no es realmente una opción para las compañías de software más pequeñas que no tienen el presupuesto». Es muy raro que tenga una persona de seguridad completamente centrada en la investigación, desea que hagan otras cosas «, dijo Moussouris.» Estas personas pueden no ser programadores. Es posible que no puedan decirles a los desarrolladores cómo evitar esos errores en el futuro. Podrían ser realmente buenos para encontrarlos. «También hay un problema cultural, dijo, ya que no todos en el campo quieren trabajar en un entorno corporativo con reuniones interminables y sesiones de equipo. A muchas personas les gusta encontrar agujeros de seguridad, pero disfrutar de su independencia. Aumentando, las empresas, las empresas están contratando pentesters calificados en un concreto perseguido para los empleos específicos. Esto soluciona el problema NDA, ya que no tienen parte de los invitados, sin tener que el problema, sin ser de los investigadores. Para que sea una carrera a tiempo completo, y la gerencia suele ser feliz porque no tienen que asumir la sobrecarga financiera de un nuevo miembro del personal. El talento por ahí. Moussouris también advirtió que algunas compañías se apresuraban a los programas de recompensa de errores por las razones equivocadas, particularmente las relaciones públicas. Afuera, «Moussouris bromeó. Motivación para los cazadores: fortuna, fama y arreglos de cosas que un concepto erróneo común es que los buscadores de fallas están en él solo por el dinero, pero es más complicado que eso. Es cierto que el dinero es un factor. En la última década, la cantidad de dinero para los bugs ha explicado. El ataque de ejecución a WhatsApp. Explotación para el spyware sancionado por el gobierno o para vender servicios de detección premium. Él es como, no, no busco críticas en absoluto, son demasiado duros y tardan demasiado. Voy por la automatización para obtener errores más eficientes de baja y mediana severidad ‘. Los medios son el punto óptimo, porque pagan más «. Pero es una situación de cola larga: la mayoría de las personas no ganan una gran cantidad de dinero, y la mayoría de los cazadores de errores no lo usan como una fuente principal de ingresos, explicó Escobar. Microsoft’s Gallagher explicó que la fama es otra forma muy efectiva de atraer a los cazadores de errores. Modelado para el registro. Tenemos un programa en el que llamamos a los investigadores más valiosos, por lo que trabajaremos con ellos. Hay algunas personas que están interesadas en trabajar a tiempo completo, hay otras personas que tienen un trabajo a tiempo completo. Puede que ni siquiera sea la seguridad, por lo que realmente depende del individuo «. La otra, a menudo pasada por alto, la motivación es el deseo de arreglar las cosas. Algunos investigadores de seguridad todavía presentan informes de errores, no especialmente por el dinero, sino para asegurarse de que las aplicaciones y los procesos sean seguros». Hay algunos investigadores que cuidan más que los errores que se arreglan que los pagos, y eso aún así es cierto «. Este error, «esa es su motivación». Sin embargo, estos unicornios son pocos y distantes, y cualquier empresa que confíe en la buena voluntad de extraños como una fuente principal de soluciones, sugirió. Por otro lado, las fallas generadas por las ametralladoras y los informes sobre ellos están inundando el análisis de errores. servicios. Eso nos hará daño a todos en el ecosistema a largo plazo. «Las plataformas de recompensas están en la primera línea de esta tendencia, y Hackerone’s Sprague dice que dos tercios de los informes que están recibiendo en estos días» terminan siendo vulnerabilidades válidas. «Para filtrar el spam, la plataforma estará utilizando la modernidad AI para examinar los informes y determinar si son válidos. El kit de escaneo que sacará gran parte del código de los dedos del código de escaneo. Así que estamos viendo que la comunidad de investigadores invierte cada vez más en estas fuentes de automatización para escalar su capacidad «. ¿Ai eclipsará al hacker humano? Este hack lo duda. LLMS trabaja en información pasada y los saltos intuitivos necesarios para detectar problemas serios parecen estar más allá de él, por ahora. ®.