El mercado de las vulnerabilidades como medida para mejorar la seguridad del software
Enviado por Luis Ariel Espinosa • 14 de Enero de 2020 • Ensayos • 776 Palabras (4 Páginas) • 130 Visitas
El mercado de las vulnerabilidades como medida para mejorar la seguridad del software.
Introducción
Es una práctica común que los desarrolladores de software al lanzar un nuevo producto o versión omitan algunas medidas de seguridad por la presión de éstos de mantener a sus consumidores interesado en nuevos productos y ser los primeros en el mercado, por lo que en muchas ocasiones existen vulnerabilidades que pudieron ser detectadas durante una fase de prueba más larga. Un enfoque interesante es el del mercado de vulnerabilidades que es el incentivar a quienes descubran fallas en la seguridad y comprar la información para después divulgarla a desarrolladores y éstos puedan implementar mejoras en la seguridad de los productos, desde luego, con un costo.
Bug Bunty Programs
Existen diferentes programas de divulgación de vulnerabilidades, llamados “Bug Bunty Programs” que no es mas que incentivar económicamente a White Hat Hackers a encontrar fallas en la seguridad de las compañías que utilizan estos programas.
Uno de los primeros en implementar esto fue la Fundación Mozilla, en 2004 inició ofreciendo 500 USD a los investigadores que localizaran vulnerabilidades críticas en su navegador Firefox. Hoy en día, las recompensas son sustancialmente mayores (entre 3.000 y 10.000 USD) y la Fundación ha invertido ya 1,6 millones de dólares. Hoy en día existen Startups que han logrado convertir esos programas en un modelo de negocio rentable y que cuentan con clientes del tamaño de Twitter, Adobe o Uber, mientras que gigantes como Facebook, Microsoft y Google han decidido implementar sus propios programas.
El problema de estos programas es que no solo las compañías están interesadas en conocer sus vulnerabilidades, sino también entidades gubernamentales y organizaciones criminales con la capacidad económica de poder implementar estos programas y utilizar dicha información para sus labores de espionaje.
- Convertirse en blanco de ataques mal intencionados
Una desventaja de estos programas es que atraen tanto White como Black Hackers, ya que las compañías al abrir la puerta a probar sus sistemas (mediante estrategias de marketing) no conocen a ciencia cierta las intenciones de quienes están invitados a explotar sus defensas. Por lo que por un lado están levantando la mano para ser probadas y convertirse de facto en un blanco, también existe el riesgo de que los atacantes traspasen más allá de lo que las compañías deseaban.
- Premiar el mal comportamiento
Algunas grandes compañías no ven con buenos ojos estas prácticas ya que ven como un tipo de rescate el tener que pagarle a los atacantes por no divulgar sus fallas o venderlas en el mercado negro.
- El caso Facebook
En 2011 Facebook implementó su propio Bug Bunty Program y ha llegado a pagar hasta un millón de dólares en los últimos años a “hackers” por haber ayudado a “mejorar su seguridad”. En 2013 un estudiante palestino, Khalil Shreateh, escribió en su blog que halló la manera para que los usuarios pudieran romper la seguridad de Facebook y publicar en los muros de un usuario incluso sin tenerlo agregado como contacto. Tras denunciar que el equipo de seguridad de la compañía ignoró sus comentarios decidió escribirle un mensaje directamente a su creador, Mark Zuckerberg para advertirle del fallo, esto lo hizo desde la misma página de Facebook de Zuckerberg. La compañía corrigió el problema, pero se negó a pagar Shreateh una recompensa argumentando que había violado los términos de uso de su servicio mediante la publicación de mensajes en páginas de otros usuarios sin su permiso.
...