Programa bug bounty (programa de recompensa)

Un programa bug bounty és un acord que ofereixen alguns llocs web, organitzacions i desenvolupadors de programari segons el qual algunes persones poden rebre reconeixement i compensació per informar d'errors en el codi, especialment els referits a seguretat i vulnerabilitats.^[1] Aquests programes permeten que els desenvolupadors descobreixin i resolguin errors abans que els pugui descobrir el públic en general de manera que s'impedeixin abusos. S'han implementat programes de recompensa a un gran nombre d'organitzacions, com ara Mozilla, Facebook, Yahoo!, Google, Reddit, Microsoft, i la Internet bug bounty.^{[2][3][4][5][6][7][8][9]} Hi ha empreses que no pertanyen a la indústria de tecnologia que també han començat a utilitzar programes de recompensa, com ara el Departament dels Estats Units de Defensa o l'Administració de la Generalitat de Catalunya.^[10]

Història

L'any 1983 la companyia Hunter i Ready va iniciar el seu primer programa de recompenses amb el seu sistema operatiu Versatile Real-Time Executive. Es va fer una cerca i es va localitzar un error anomenat Volkswagen Beetle.^[11]

Una dècada més tard, cap al 1995, Jarrett Ridlinghafer, un enginyer de suport tècnic a l'empresa de comunicacions Netscape va encunyar l'expressió 'Bugs Bounty' (programes de recompensa).

Netscape va animar els seus empleats a fer-ne difusió. Ridlinghafer va reconèixer que Netscape tenia molts entusiastes de producte i evangelistes, alguns dels quals fins i tot es podrien considerar fanàtics dels navegadors de Netscape. Va començar a investigar més detingudament aquest fenomen i va descobrir que molts entusiastes de Netscape eren informàtics que arreglaven errors del producte i publicaven les correccions o les solucions a fòrums en línia que havia creat el departament de suport tècnic de Netscape o bé a la pàgina web no oficial de preguntes més freqüents de Netscape on es van llistar tots els errors coneguts i les característiques del navegador, i també les instruccions pel que fa a solucions i correccions.

Ridlinghafer va pensar que l'empresa havia d'aprofitar aquests recursos i va proposar el 'Programa Bug Bounty de Netscape', el va presentar al seu director, qui, al seu torn, va suggerir que Ridlinghafer el presentés a l'empresa en la següent reunió de l'equip executiu. A la reunió d'equip va ser assistit per James Barksdale, Marc Andreessen i els vicepresidents de cada departament incloent-hi enginyeria de producte. En aquesta reunió, es va lliurar una còpia de la proposta del programa 'Netscape Bugs Bounty' i Ridlinghafer va ser convidat per presentar-lo a l'equip executiu de Netscape. A tothom li va entusiasmar la idea, tret del vicepresident d'Enginyeria, que no va voler que tirés endavant perquè creia que era una pèrdua de temps i recursos. Tanmateix, el parer del vicepresident d'Enginyeria no es va tenir en compte i Ridlinghafer va rebre un pressupost de 50.000 dòlars per posar en marxa la proposta.

El 10 d'octubre de 1995, Netscape va llançar la primera tecnologia bug bounty per al Netscape Navigator 2.0 en beta.^[12][13]

Controvèrsia sobre la política de revelació de vulnerabilitats

L'agost de 2013, un estudiant d'informàtica palestí va informar d'una vulnerabilitat que facilitava que qualsevol persona publiqués un vídeo en un compte arbitrari de Facebook. Segons la comunicació que l'estudiant va enviar per correu electrònic a Facebook, ell intentava informar de la vulnerabilitat de Facebook usant el programa de recompenses bug bounty de Facebook, però els enginyers de Facebook no ho van entendre. Més tard va explotar aquesta vulnerabilitat usant el perfil de Facebook de Mark Zuckerberg. Facebook es va negar a pagar-li una recompensa.^[14]

 

Un targeta de dèbit de Facebook de barret blanc, donada a investigadors que informen dels errors de seguretat

Facebook va començar a pagar investigadors que troben i reporten forats de seguretat emetent targetes de dèbil de "Barret Blanc" que poden ser recarregades amb fons cada cop que els investigadors descobreixen nous defectes. “Els investigadors que troben errors i millores de seguretat són estranys, i els valorem i hem de trobar maneres de premiar-los,” va dir a CNET en una entrevista Ryan McGeehan, director de l'anterior equip de resposta de la seguretat de Facebook. “Tenir aquesta targeta negra exclusiva és una altra manera de reconèixer-los. Poden aparèixer en una conferència i mostrar aquesta targeta i dir ‘jo he fet una feina especial per a Facebook."^[15] El 2014, Facebook va deixar d'expedir targetes de dèbit a investigadors.

El 2016, Uber va experimentar un incident de seguretat quan un individu va accedir a la informació personal de 57 milions usuaris d'Uber de tot el món. L'individu reclamava presumptament un rescat de 100,000 de dòlars per destruir les dades dels usuaris. En una declaració al Congrés, el responsable de ciberseguretat d'Uber va indicar que l'empresa havia comprovat que les dades havien estat destruïdes abans de pagar els 100,000 dòlars.^[16] Flynn va expressar els seus remordiments perquè Uber no va revelar l'incident el 2016. Com a part de la seva resposta a aquest incident, Uber va treballar amb el seu soci HackerOne per actualitzar el seu programa de recompenses bug bounty per tal de, entre d'altres aspectes, explicar més exhaustivament la recerca i divulgació de vulnerabilitats de bona fe.^[17]

Yahoo! també va ser molt criticat per enviar samarretes Yahoo! per recompensar els investigadors de seguretat per trobar i informar de vulnerabilitats de seguretat dins de Yahoo!, explicant el que es va anomenar T-shirt-gate (Samarreta gate).^[18] Alt-Tech Pont, una empresa de testatge de la seguretat de Ginebra va publicar una nota de premsa dient que Yahoo! els havia ofert 12.50 dòlars de crèdit per vulnerabilitat. Això podria ser utilitzat per Yahoo-amb elements de màrqueting com ara samarretes, copes i bolígrafs de la seva botiga. Ramsès Martínez, director de l'equip de seguretat de Yahoo, va reclamar més tard en un post al seu blog que ell era darrere del val de recompensa, i que bàsicament havia estat pagant-los de la seva butxaca.^{[cal citació]} Finalment, Yahoo! va llançar el seu nou programa de recompenses bug bounty el 31 d'octubre del mateix any. El programa permet que investigadors de seguretat informin dels errors que detectin i rebin recompenses d'entre 250$ i 15,000$, segons la severitat de l'error de què es tracti.^{[cal citació]}

De manera semblant, quan Ecava va alliberar el primer programa bug bounty per ICS el 2013, se'ls va criticar per oferir crèdits de botiga en comptes d'efectiu que no incentivés investigadors de seguretat.^[19][20][21] Ecava va explicar que el programa s'havia concebut inicialment de manera restrictiva i s'enfocava cap a la perspectiva de seguretat humana per a usuaris de IntegraXor SCADA, el seu programari d'ICS.

Geografia

Tot i que els enviaments de recompenses d'errors provenen de molts països, hi ha uns quants països que tendeixen a detectar més errors i a rebre més recompenses. Els Estats Units i l’Índia són els països més importants dels quals els investigadors presenten errors. L'Índia, que té el primer o el segon nombre més gran de caçadors d'errors del món, segons quin informe es citi, va encapçalar el Programa de recompenses d'errors de Facebook amb el nombre més elevat d'errors vàlids. "L'Índia va superar el nombre d'enviaments vàlids el 2017, amb els Estats Units i Trinitat i Tobago en segon i tercer lloc, respectivament", va citar Facebook en una publicació.

Programes destacats

L'octubre de 2013, Google va anunciar un canvi important al seu Programa de Recompensa de la Vulnerabilitats. Anteriorment, hi havia hagut un programa de recompenses bug bounty que cobria molts productes de Google. Amb el canvi, el programa es va ampliar per incloure també una selecció d'aplicacions d'alt risc de programari lliure i biblioteques, principalment aquells dissenyats per a treball en xarxa o per a funcionalitats de sistema operatiu de nivell baix. Google va trobar que qui fos partidari de les directrius seria premiat pers recompenses que van des de 500 dòlars fins a 3133.70 dòlars.^[22][23] El 2017, Google va ampliar el seu programa per cobrir les vulnerabilitats trobades en les aplicacions que desenvolupen terceres parts i estan disponibles a la botiga d'apps de Google.^[24] Les recompenses del programa de vulnerabilitats de Google ara inclouen les vulnerabilitats trobades dins Google, el núvol de Google, Android, i els productes Chrome, i les recompenses van fins als 31,337 dòlars.^[25]

Microsoft i Facebook es van associar el mes de novembre de 2013 per patrocinar la Internet Bug Bounty, un programa per oferir recompenses per informar hacks i proeses per una gamma ampla de programari relacionat amb Internet.^[26] El 2017, GitHub i la Fundació Ford van patrocinar la iniciativa, que és dirigida per voluntaris que inclouen Uber, Microsoft, Facebook, Adobe, HackerOne, GitHub, Grup de NCC, i Ciències de Senyal.^[27] El programari cobert per l'IBB inclou Adobe Flash, Python, Ruby, PHP, Django, Ruby on Rails, Perl, OpenSSL, Nginx, Apache HTTP Server, i Phabricator. A més, el programa va oferir recompenses per les proeses més que utilitzin sistemes operatius i navegadors de web, així com l'Internet globalment.^[28]

El mes de març de 2016, Peter Cook va anunciar el primer programa bug bounty del govern federal dels EUA, el programa "Hack the Pentagon" (Pirateja el Pentàgon).^[29] El programa es va posar en marxa entre el 18 d'abril i el 12 de maig i més de 1.400 persones van lliurar 138 informes vàlids únics a través de HackerOne. En total, el departament de Defensa va pagar uns 71.200 dòlars.^[30]

El 2019, La Comissió Europea va anunciar la iniciativa de programa per recompenses bug bounty EU-FOSSA 2 per a projectes de codi obert popular, incloent-hi Drupal, Apache Tomcat, VLC, 7-zip i KeePass. El projecte es feia en col·laboració amb la plataforma europea de bug bounty Intigriti i HackerOne. El resultat va ser que es van detectar un total de 195 vulnerabilitats úniques i vàlides.^[31]

Open Bug Bounty és un programa de seguretat de bug bounty que es va iniciar el 2014 i que facilita que es publiqui a webs o aplicacions web vulnerabilitats per tal de rebre una recompensa del operadors de la pàgina web afectada.

La plataforma més gran de bug bounty a Europa: les plataformes bug bounty gestionen programes bug bounty en comptes de les empreses per descarregar-los de feina. Validen els informes, es comuniquen amb el hackers i també resolen les tasques financeres i administratives en nom de l'empresa. Alguns llocs a Europa són: Intigriti, Yeswehack, HACKRATE i Hacktify.eu.

Programes de recompenses bug bounty a Catalunya

El mes de desembre de 2020 i durant dues setmanes, l'Agència de Ciberseguretat de Catalunya, juntament amb el Departament de la Vicepresidència i d'Economia i Hisenda, va dur a terme una prova pilot pionera d’un programa bug bounty sobre un conjunt d’actius de la Generalitat de Catalunya. Entre els actius analitzats hi havia una part del web gencat.cat que proveeix de serveis a la ciutadania i les apps de gencat que es poden trobar als mercats oficials de Play Store de Google i l’App Store d'Apple.^[32]

Referències

1. «The Hacker-Powered Security Report - Who are Hackers and Why Do They Hack p. 23». HackerOne, 2017. [Consulta: 5 juny 2018].
2. «Mozilla Security Bug Bounty Program» (en anglès americà). Mozilla. [Consulta: 9 juliol 2017].
3. Facebook Security. «Facebook WhiteHat». Facebook, 26-04-2014. [Consulta: 11 març 2014].
4. «Yahoo! Bug Bounty Program». HackerOne. [Consulta: 11 març 2014].
5. «Vulnerability Assessment Reward Program». [Consulta: 11 març 2014].
6. «Reddit - whitehat». Reddit. [Consulta: 30 maig 2015].
7. «Square bug bounty program». HackerOne. [Consulta: 6 agost 2014].
8. «Microsoft Bounty Programs». Microsoft Bounty Programs. Security TechCenter. Arxivat de l'original el 2013-11-21. [Consulta: 2 setembre 2016].
9. HackerOne. «Bug Bounties - Open Source Bug Bounty Programs». [Consulta: 23 març 2020].
10. «The Pentagon Opened up to Hackers - And Fixed Thousands of Bugs». Wired, 10-11-2017. [Consulta: 25 maig 2018].
11. «The first "bug" bounty program». Twitter, 08-07-2017. [Consulta: 5 juny 2018].
12. «Netscape announces Netscape Bugs Bounty with release of netscape navigator 2.0». Internet Archive. Arxivat de l'original el 1 maig 1997. [Consulta: 21 gener 2015].
13. «Cobalt Application Security Platform». Cobalt. [Consulta: 30 juliol 2016].
14. «Zuckerberg's Facebook page hacked to prove security flaw». CNN, 20-08-2013. [Consulta: 17 novembre 2019].
15. Whitehat, Facebook. «Facebook whitehat Debit card». CNET.
16. «Testimony of John Flynn, Chief Information Security Officer, Uber Technologies, Inc». United States Senate, 06-02-2018. [Consulta: 4 juny 2018].
17. «Uber Tightens Bug Bounty Extortion Policy». Threat Post, 27-04-2018. [Consulta: 4 juny 2018].
18. T-shirt Gate, Yahoo!. «Yahoo! T-shirt gate». ZDNet.
19. Toecker, Michael. «More on IntegraXor's Bug Bounty Program». Digital Bond, 23-07-2013. [Consulta: 21 maig 2019].
20. Ragan, Steve. «SCADA vendor faces public backlash over bug bounty program». CSO, 18-07-2013. [Consulta: 21 maig 2019].
21. Rashi, Fahmida Y. «SCADA Vendor Bashed Over "Pathetic" Bug Bounty Program». Security Week, 16-07-2013. [Consulta: 21 maig 2019].
22. Goodin, Dan. «Google offers "leet" cash prizes for updates to Linux and other OS software». Ars Technica, 09-10-2013. [Consulta: 11 març 2014].
23. Zalewski, Michal. «Going beyond vulnerability rewards». Google Online Security Blog, 09-10-2013. [Consulta: 11 març 2014].
24. «Google launched a new bug bounty program to root out vulnerabilities in third-party apps on Google Play». The Verge, 22-10-2017. [Consulta: 4 juny 2018].
25. «Vulnerability Assessment Reward Program». [Consulta: 23 març 2020].
26. Goodin, Dan. «Now there's a bug bounty program for the whole Internet». Ars Technica, 06-11-2013. [Consulta: 11 març 2014].
27. «Facebook, GitHub, and the Ford Foundation donate $300,000 to bug bounty program for internet infrastructure». VentureBeat, 21-07-2017. [Consulta: 4 juny 2018].
28. «The Internet Bug Bounty». HackerOne. [Consulta: 11 març 2014].
29. «DoD Invites Vetted Specialists to 'Hack' the Pentagon». U.S. DEPARTMENT OF DEFENSE. Arxivat de l'original el 2016-03-13. [Consulta: 21 juny 2016].
30. «Vulnerability disclosure for Hack the Pentagon». HackerOne. [Consulta: 21 juny 2016].
31. «EU-FOSSA 2 - Bug Bounties Summary».
32. «L'Agència de Ciberseguretat de Catalunya, en col·laboració amb el Departament de la Vicepresidència, endega una prova pionera per detectar vulnerabilitats a l'Administració Pública». Generalitat de Catalunya. [Consulta: 14 març 2021].

Enllaços externs

• The History of Bug Bounty Programs^{[Enllaç no actiu]}