Los diez Bug Bounty Programs que debes tener en tu radar

  • Reportajes

La historia de los Bug Bounty Programs arrancó en 1995 de la mano de Netscape, la primera compañía en lanzar un programa de recompensas por detectar fallos de seguridad en la beta de su navegador, Netscape Navigator 2.0

También puedes leer...

Privacidad y protección de datos en aplicaciones móviles

Haciendo frente a la PSD2

Cambios de Paradigma en Seguridad

DMARC, protegiendo el email

Nuevo paradigma en la confianza

La historia de los Bug Bounty Programs arrancó en 1995 de la mano de Netscape, la primera compañía en lanzar un programa de recompensas por detectar fallos de seguridad en la beta de su navegador, Netscape Navigator 2.0

Este contenido forma parte del reportaja de portada de marzo de IT Digital Security dedicado a los Programas de Recompensas. Puedes descargarte la revista desde este enlace.

Los diez Bug Bounty Programs que debes tener en tu radar

Apple. Sólo se puede acceder por invitación y aunque no se establece un mínimo, el máximo por vulnerabilidad detectada está en 200.000 dólares. Este programa de recompensas, que inicialmente sólo contaba con poco más de veinte investigadores que habían reportado alguna vulnerabilidad a Apple, se estableció en septiembre de 2016.  Fue anunciado por Ivan Krstic, ingeniero de seguridad de Apple, durante el Black Hat de ese año, cuando se ofrecían hasta 25.000 dólares por vulnerabilidades que permitieran acceder a desde un proceso aislado a datos de usuarios fuera de la sandbox.

Ahora la compañía está dispuesta a pagar 100.000 dólares a quieren sean capaces de extraer datos protegidos por la tecnología Apple Enclave y establece la mayor recompensa, dotada con 200.000 dólares para fallos de seguridad que afecten a su firmware.

Facebook. La recompensa mínima que establece Facebook en su programa de recompensas es de 500 dólares, sin que haya una cantidad máxima fijada. Los fallos de seguridad pueden detectase tanto en Facebook como en Atlas, Instagram o WhatsApp, todo ellos propiedad de Facebook, que limita las investigaciones dejando fuera las que tengan que ver con técnicas de ingeniería social, inyección de contenido, ataques de DDoS. La recompensa conseguida puede donarse a una obra social, lo que haría que Facebook duplicara la cantidad.

GitHub. Las recompensas de este Bug Bounty Program van desde los 200 a los 10.000 dólares. Desde su creación en junio de 2013 han participado en este programa más de un centenar de investigadores, cada uno de los cuales ha ganado puntos por los fallos detectados que les colocan en una lista. Llevarse el premio significa que durante el proceso de búsqueda de fallos se respetarán los datos de los usuarios y no se explotará ningún tema que genere un ataque que pudiera dañar la integridad de los servicios o información de GitHub.

Google. Con un pago mínimo de 300 dólares y un máximo de 31.337 dólares, el programa de recompensas de Google incluye tanto las vulnerabilidades encontradas en Google.com, como en youtube.com o los dominios de .blogger. Quedan fuera de opciones los fallos que requieran lanzar ataques de phishing contra los empleados de la compañía. El programa sólo cubre temas de diseño e implementación que afecten a la confidencialidad e integridad de los datos de los usuarios, así como vulnerabilidades de ejecución remota de código en aplicaciones que permitan acceder a una cuenta de Google así como a aplicaciones o datos de aplicaciones.

Intel. El programa de recompensas de Intel se estrenó hace un año. Presentado durante la conferencia de seguridad CanSecWest, el Bug Bounty Program está enfocado en el hardware de la compañía (procesadores, chipsets, SSD, etc.), el firmware (BIOS, Intel Management Engine, placas base, etc.), y software (dispositivos, aplicaciones y herramientas). Una vulnerabilidad detectada en el hardware de la compañía puede generar un premio de 30.000 dólares, mientras que, del otro lado, una vulnerabilidad encontrada en el software la compañía reportaría unos 500 dólares.

Hace unas semanas Intel anunció alguna modificación en su programa de recompensas, al que añade una nueva categoría para los ataques de tipo canal lateral, o side-channel, que son los que explotan vulnerabilidades del tipo de Meltdown y Spectre. Otros cambios son que pasa de ser un programa sólo por invitación a ser un programa abierto y que de manera generalizada se incrementan las recompensas en todos los ámbitos, con premios de hasta 100.000 dólares.

Microsoft. El programa de recompensas de la compañía de Redmond es coetáneo del de Github y ha sufrido varios cambios; el pago mínimo es de 500 dólares, y no se establece un mínimo. Los investigadores pueden esperar 15.000 dólares por detectar fallos de seguridad en los servicios cloud de la compañía, y mucho más si detectan un fallo de ejecución remota de código en Hyper-V, recompensando con 250.000 dólares. El verano pasado la compañía lanzó un programa de recompensas que cubría fallos detectados en Windows Insider Preview o Microsoft Edge.

Pentagon. Entre cien y 15.000 dólares pueden conseguir los que participen en este Bug Bounty Program que se inició como un piloto entre abril y mayo de 2016. Hack the Pentagon es un programa de recompensas que está diseñado para identificar y resolver vulnerabilidades de seguridad que afectan a sites operados por el Departamento de Defensa de Estados Unidos. Dotado con un total de 150.000 dólares en recompensas, el programa ya ha sido capaz de atraer a casi 1.500 investigadores y cazadores de vulnerabilidades, que hasta el año pasado detectaron un total de 1.189 vulnerabilidades que le han costado al departamento de Defensa un total de 75.000 dólares en su primer año.

Tor Project ofrece recompensas mínimas de cien dólares y máximas de 4.000 y fue creado en 2017 para detectar vulnerabilidades en dos de sus servicios de anonimización: su red Daemon y el navegador, cada uno de los cuales tiene sus propias condiciones.

En relación con la red Tor, los investigadores de seguridad pueden ganar entre cien y 4.000 dólares dependiendo de la gravedad del fallo detectado. También pueden ganarse 2.000 dólares por reportar un fallo en alguna de las librerías de terceros utilizados por Tor, excluida OpenSSL. En cuanto al navegador Tor, un fallo detectado puede estar recompensado con 3.000 dólares.

Uber no tiene establecido un pago mínimo por vulnerabilidad detectada, pero sí un máximo: 10.000 dólares. El programa de recompensas por vulnerabilidades de esta compañía está centrado en la protección de los datos de los usuarios y sus empleados

WordPress sí que establece un pago mínimo por vulnerabilidad detectada, 150 dólares, pero no un máximo. Esta compañía está interesada fundamentalmente en fallos XSS (cross-site scripting) o fallos en las solicitudes al servidor, y no en vulnerabilidades relacionadas con ataques de fuerza bruta, DDoS, phishing o ataques de ingeniería social. Los investigadores también pueden notificaruna vulnerabilidad en algún plugin, ya que los administradores de WordPress enviarán el registro a los desarrolladores del complemento afectado.