miércoles, julio 01, 2015

Haz hacking en empresas con Bug Bounties & Hacker Friendly con Security Researchers

Desde hace ya un tiempo, probar una técnica de hacking contra un servidor de una empresa es considerado delito en muchos países. Las legislaciones han ido endureciéndose con respecto al hacking haciendo que cuando un investigador reporte un bug se pueda estar metiendo en un problema legal que le esté molestando en su vida durante años.

Figura 1: Haz Hacking en empresas con Bug Bounties & Hacker Friendly con Security Researchers

A pesar de eso, hay muchas empresas que siguen diferenciando entre un investigador de seguridad que reporta un fallo para que sea solucionado y un verdadero atacante que está buscando hacer daño a la compañía con el descubrimiento del bug. Es por eso que, a pesar de la ley, existen compañías a las que se les pueden hacer pruebas de hacking si se le van a reportar las vulnerabilidades.

Zero Tolerance & Case by Case

Yo hace tiempo, con la llegada de la nuevas leyes, propuse la idea de crear una fichero en los servidores web llamado hackers.txt para que las webs identificaran cuál iba a ser la política de actuación frente a los hackers. La idea es que un investigador al que se le hubiera ocurrido una nueva técnica de hacking o hubiera descubierto un nuevo bug pudiera probarlo en los servidores de una empresa sabiendo a lo que se exponía. Esto es muy importante porque, a día de hoy, siguen existiendo empresas y/u organismos con políticas de "Zero Tolerance" al hacking y a la búsqueda de vulnerabilidades por investigadores de seguridad independientes - como algunos casos que os conté hace tiempo -.

En otras empresas se han ido aplicando diferentes aproximaciones a cómo lidiar con los reportes de investigadores de seguridad. Es común encontrarse empresas que toman una actitud neutra en la que deciden no tomar acciones legales contra ningún investigador que les reporta de forma responsable las vulnerabilidades.

Figura 2: Canal de BlackBerry para el reporte de la comunidad

Esto no siempre es un hecho público y muchas veces es más una experiencia que se cuentan investigadores unos a otros sobre cómo ha sido su experiencia con una empresa. Esto no tiene porque ser siempre así, y en mi experiencia personal he vista a una misma empresa, por la sensibilidad de cómo ha sido el reporte o si se han explotado los fallos para sacar datos o no,  una misma compañía ha cambiado su política. Son las compañías sin una política clara Case by Case.

Hacker Friendly & Bug Bounty

Desde ese punto, hay algunas compañías que han pasado a diferentes niveles de trato. Hay algunas, a las que yo llamo "Hacker Friendly" que no solo no toman acciones legales sino que además tienen algún tipo de Hall of Fame o reconocimiento público mediante el regalo de una camiseta o un detalle. Por ejemplo, en el caso de Apple cuando se le reporta el bug, cada equipo de producto tiene su propia forma de dar las gracias. Esto también es común en Microsoft y en otras muchas empresas, pero no tienen porque ser todos los equipos los que tengan la misma política. 
Por último, algunas compañías, cuando ya se sienten cómodas con el nivel de madurez de sus tecnologías y son capaces de convencer a los equipos legales de las ventajas de tener una aproximación pro-activa con la comunidad de investigadores de seguridad, aparecen las Bug Bounties, o premios en forma de dinero o tangibles que se dan a los investigadores.


Figura 4: Alejandro Ramos explica el programa de Responsible Disclosure en ING Direct España

Hay que tener cuidado porque a veces las Bug Bounties de las compañías no son aplicables a todos los bugs de seguridad en toda la compañía, y solo están acotadas a algunos productos. También hay que leer la letra pequeña porque algunas compañías limitan el tipo de actividades permitidas y el tipo de reportes que quieren que se les hagan. 

Figura 5: Algunas empresas con política de bug bounties recogidas en BugCrowd

Con el objeto de gestionar las relaciones entre los investigadores de seguridad y las compañías, es por lo que aparecen proyectos como Hacker One o BugCrowd, donde las empresas que quieren abrir una Bug Bounty concreta con unas condiciones concretas pueden darse de alta y tener una interlocución controlada con los investigadores, permitiendo incluso que algunas campañas se abran solo para investigadores que tengan un determinado nivel de reputación.

Pruebas de Hacking de investigadores de seguridad

En cualquier caso, gracias a la madurez de este sector, las compañías a día de hoy suelen ser mucho más flexibles que la propia ley, y permiten a los investigadores que los que disfrutan de esta pasión probando las nuevas técnicas que se les ocurren en compañías Hacker Friendly o con Bug Bounties.

Figura 6: Lista de sitios con sus respectivas políticas en BugSheet

Dicho esto,  si quieres testear algo tienes sitios donde poder hacerlo sin riesgo de tener un problema legal, hay listas de empresas con estas aproximaciones publicadas en muchos sitios, así que consúltalas antes de meterte en un lío, y por supuesto, gestiona la sensibilidad del reporte que en muchos casos marca la diferencia.

Saludos Malignos

Entradas populares