Las llamadas "recompensas de bugs" son ofrecidas por algunos de los sitios webs y compañías de software más grandes del mundo para asegurarse que algunos bugs sean encontrados para ser reparados por investigadores de seguridad "amigables", y no por atacantes maliciosos que podrían utilizar las fallas para causar daño.
Estas recompensas son un fenómeno relativamente nuevo pero, en los últimos años, se han convertido en una medida de seguridad importante para negociosos modernos, especialmente si son muy dependientes de Internet.
En el pasado, los investigadores de seguridad que reportaban tales fallas solían recibir un simple "gracias" o inclusive hasta podrían enfrentar acusaciones de haber querido realizar un ataque, dado que no se comprendía del todo el ethical hacking.
Pero los tiempos han cambiado y ahora existe una gran variedad de programas que pagan grandes sumas de dinero a los investigadores. Desde encontrar fallas y delatar cibercriminales hasta realizar sugerencias de medidas de seguridad, vamos a repasar algunos de los pagos más importantes de los últimos años:
United Airlines
United Airlines causó un revuelo en mayo cuando anunció un programa de recompensas que premia a los investigadores con millas aéreas en lugar de dar dinero.
La escala de United va de 50.000 millas para falla de bajo nivel, tales como la falsificación de peticiones de sitios y errores en software de terceros, hasta 250.000 millas para bugs de nivel medio, como fugas de información personal, ataques de fuerza bruta y el salteo de autenticación. Si un investigador logra encontrar un bug RCE, será premiado con un millón de millas.
Las fallas encontradas abordo de la aeronave, como por ejemplo el Wi-Fi de la máquina, no participan de este programa. Además prohibe a los investigadores publicar los bugs o presentarla a terceros.
Jordan Wiens, un investigador de vulnerabilidades de Florida, fue el primero en haber sido recompensado por United Airles, y recibió un millón de millas aéreas gratuitas por encontrar un bug RCE en una de las propiedades web de United.
Por su parte, el investigador australiano Nathaniel Wakelam también recibió medio millón de millas por parte de United, gracias a un bug encontrado en el 16 de mayo. Además, un tercer investigador, Neal Poole, afirma haber recibido 300.000 millas por una falla reportada durante julio.
Algunos reportes sugieren que un millón de millas aéreas son suficientes para "varios" viajes en primera clase a Asia desde los Estados Unidos, o para "hasta 20 viajes ida y vuelta dentro de los Estados Unidos".
La historia de Facebook con los programas de recompensas de bugs es algo accidentada: en 2013 la red social rechazó pagarle a un investigador "white-hat" luego que fuera capaz de publicar una carta dentro del perfil de Mark Zuckerberg. Luego presentó un programa para tarjetas de débito de investigadores, que fue abandonado un año más tarde. Sin embargo, la empresa le ha pagado más de un millón de dólares a investigadores durante 2014.
En noviembre de 2013, Reginaldo Silva, un ingeniero en sistemas de Brasil, encontró una de las peores vulnerabilidades dentro del software de Facebook, logrando una recompensa de 30.000 dólares. La falla tenía que ver con el código utilizado para el sistema de autenticación OpenID, que le permite a las personas utilizar las mismas credenciales de acceso para varios servicios online.
Silva descubrió que la vulnerabilidad podía ser ejecutada desde una computadora remota, uno de las fallas de software más peligrosas ya que podría haberle permitido a un atacante, leer casi cualquier archivo y abrir conexiones de red de manera arbitraria en un servidor de Facebook.
Un vocero de Facebook reveló a The Register que la recompensa final fueron 33.500 dólares.
Microsoft
Microsoft entregó su primer recompensa de 100 mil dólares a un investigador que descubrió un bug en Windows 8, a comienzos de este año.
El gigante de Redmon tradicionalmente ha evitado entregar grandes recompensas, pero la compañía anunció sus primeros grandes premios en 2013, especialmente diseñados para Windows 8.1 e Internet Explorer 11.
Microsoft pagaba la generosa cifra de 11.000 dólares para exploits de IE, pero ofrecía aún más dinero si encontraban una manera "innovadora" de realizar técnicas de explotación para el emergente Windows 8.1.
James Forshaw, un investigador de la empresa británica Context Information Security, se llevó la recompensa de los 100.000 dólares por detallar una falla que salteaba algunas protecciones incluidas en la versión previa de Windows 8.1.
El señor Forshaw no fue capaz de presentar mayores detalles de su descubrimiento dada las reglas del programa de recompensas de Microsoft, pero al tiempo pudo explayarse en el blog de Context.
Microsoft (de nuevo)
Esa no fue la única vez que Microsoft desembolsó una gran suma a un profesional de seguridd, el año anterior el gigante de Redmond le pagó a Vasilis Pappas unos 200.000 dólares por un innovador prototipo de seguridad diseñado para prevenir la explotación de vulnerabilidades de la seguridad de memoria en aplicaciones de Windows.
Pappas, un estudiante del PhD de la Universidad de Columbia por ese entonces, había desarrollado kBouncer, una "técnica eficiente y totalmente transparente de mitigación ROP", que presentó en el evento de Microsoft Blue Hat Prize en 2012.
En ese momento, Microsoft afirmó que buscaba participante que "pudieran diseñar los modos más efectivos de prevenir el uso de vulnerabilidades de seguridad de memoria, un área clave en la que Microsoft se quiere focalizar". Luego de descartar participantes hasta llegar a 3 personas, fue Pappas quien se llevó el premio mayor.
Heartbleed
La ya famosa falla Heartbleed (CVE-2014-0160) se dio a conocer en abril de 2014. Específicamente fue un defecto en la librería de criptografía de OpenSSL, que es muy utilizado en el protocolo TLS (Transport Layer Security). Afectó a cientos de miles de servidores web, y se cree que aún al día de hoy hay varios que permanecen vulnerables.
Afortunadamente, este fallo fue descubierto accidentalmente por Neel Mehta, un miembro del equipo de seguridad de Google. Codenomicom reportó que reportaron la falla a OpenSSL antes que el equipo de seguridad de Google, pero tanto la empresa de ciberseguridad finlandesa como Google descubrieron la vulnerabilidad de manera independiente. La falla ocurrió por un ingeniero alemán mientras hacía pruebas con el código de OpenSSL.
El OpenSSL Project le otorgó 15.000 dólares a Mehta, una cifra bastante escasa considerando la seriedad que tenía Heartbleed. The Daily Dot reportó que el investigador de Google donó generosamente su premio a la Fundación Freedom of the Press, que alienta el uso de cifrado y otras herramientas para proteger a la comunicación de periodistas.
Flickr de Yahoo
Flickr, perteneciente a Yahoo, es una de las plataformas de fotografías más grandes del mundo, pero su reputación sufrió cuando se descubrió una vulnerabilidad crítica en la aplicación web, que dejó la base de datos del sitio abierta a atacantes.
El investigador Ibraham Raafat afirma haber descubierto vulnerabilidades SQL injection en los Photo Books de Flickr, una nueva característica para imprimir albumes de fotos utilizando el servicio. Él encontró dos parámetros (page id, item) que eran vulnerables a una vulnerabilidad blind SQL injection y una falla Direct SQL injection, que permitían la
ejecución de código remoto.
Una inyección SQL exitosa le podría haber permitido a un atacante robar la base de datos y le contraseña del administrador de MYSQL, dijo Raafat, agregando que él pudo acceder a información sensible dentro de la base de datos de Flickr.
Yahoo reconoció los problemas e implementó los parches en seis horas, de acuerdo a lo reportado por SC Magazine.