As 5 principais plataformas de recompensas de bugs para organizações melhorarem a segurança de aplicativos

Somente um hacker pode pensar como um hacker. Portanto, quando se trata de “à prova de hackers”, pode ser necessário recorrer a um hacker.


A segurança de aplicativos sempre foi um tópico importante, que só ficou mais quente com o tempo.

Mesmo com uma horda de ferramentas e práticas defensivas à nossa disposição (firewalls, SSL, criptografia assimétrica etc.), nenhum aplicativo baseado na Web pode afirmar que é seguro além do alcance dos hackers.

Por que é que?

A razão simples é que a criação de software continua sendo um processo muito complexo e frágil. Ainda existem erros (conhecidos e desconhecidos) dentro dos desenvolvedores da fundação, e novos estão sendo criados com o lançamento de novos softwares e bibliotecas. Até as empresas de tecnologia de primeira linha estão prontas para vergonha ocasional, e uma boa razão.

Agora contratando. . . Hackers!

Dado que erros e vulnerabilidades provavelmente nunca sairão do mundo dos softwares, onde eles deixam as empresas dependentes desse software para sobreviver? Como pode, por exemplo, um novo aplicativo de carteira, ter certeza de que ele resistirá às tentativas desagradáveis ​​de hackers?

Sim, você já adivinhou: contratando hackers para entrar e fazer uma rachadura neste aplicativo recém-criado! E por que eles? Só porque há uma recompensa grande o suficiente em oferta – a recompensa do bug! ��

Se a palavra “recompensa” traz de volta memórias do oeste selvagem e balas sendo disparadas sem abandonar, é exatamente essa a ideia aqui. De alguma forma, você obtém os hackers mais experientes e de elite (especialistas em segurança) para emitir seu aplicativo e, se encontrarem algo, serão recompensados.

Existem duas maneiras de fazer isso: 1) hospedar uma recompensa de bug por conta própria; 2) usando uma plataforma de recompensa de bugs.

Bug Bounty: auto-hospedado vs. plataformas

Por que você se daria ao trabalho de selecionar (e pagar) uma plataforma de recompensa de bugs quando você pode simplesmente hospedá-la por conta própria. Quero dizer, basta criar uma página com os detalhes relevantes e fazer barulho nas mídias sociais. Obviamente, não pode falhar, certo?

Hacker não está convencido!

Bem, essa é uma ideia interessante, mas olhe para ela da perspectiva do hacker. Empurrar bugs não é tarefa fácil, pois requer vários anos de treinamento, conhecimento praticamente ilimitado de coisas antigas e novas, toneladas de determinação e mais criatividade do que a maioria dos “designers visuais” (desculpe, não pude resistir a isso! -P).

O hacker não sabe quem você é ou não tem certeza de que pagará. Ou talvez, não esteja motivado. Recompensas auto-hospedadas trabalham para gigantes como Google, Apple, Facebook etc., cujos nomes as pessoas podem colocar em seu portfólio com orgulho. “Encontrou uma vulnerabilidade crítica de login no aplicativo HRMS desenvolvido pela XYZ Tech Systems” não parece impressionante, no momento, parece (com as devidas desculpas a qualquer empresa por aí que possa se parecer com esse nome!)?

Depois, existem outras razões práticas (e esmagadoras) para não ir sozinho quando se trata de recompensas de insetos.

Falta de infraestrutura

Os “hackers” de que falamos não são os que perseguem a Dark Web.

Aqueles não têm tempo ou paciência para o nosso mundo “civilizado”. Em vez disso, estamos falando aqui de pesquisadores de ciência da computação que estão em uma universidade ou são caçadores de recompensas há muito tempo. Essas pessoas querem e enviam informações em um formato específico, o que é uma dor em si mesmo para se acostumar..

Até seus melhores desenvolvedores se esforçam para acompanhar, e o custo de oportunidade pode acabar sendo muito alto.

Resolvendo envios

Finalmente, há a questão da prova. O software pode ser construído sobre regras totalmente determinísticas, mas exatamente quando um requisito específico é atendido está em debate. Vamos dar um exemplo para entender melhor isso.

Suponha que você tenha criado uma recompensa por erros de autenticação e autorização. Ou seja, você alega que seu sistema está livre dos riscos de representação, que os hackers precisam subverter.

Agora, o hacker encontrou uma fraqueza com base em como um navegador específico funciona, o que lhes permite roubar o token de sessão de um usuário e personificá-lo.

Essa descoberta é válida?

Do ponto de vista do hacker, definitivamente, uma violação é uma violação. Do seu ponto de vista, talvez não, porque você acha que isso é de responsabilidade do usuário ou que o navegador simplesmente não é uma preocupação para o seu mercado-alvo.

Se todo esse drama estivesse acontecendo em uma plataforma de recompensas por insetos, haveria árbitros capazes de decidir o impacto da descoberta e encerrar o problema.

Com isso dito, vamos olhar para algumas das populares plataformas de recompensas de bugs por aí.

Hackerone

Entre os programas de recompensa de bugs, Hackerone é o líder quando se trata de acessar hackers, criar seus programas de recompensa, divulgar e avaliar as contribuições.

Há duas maneiras de usar o Hackerone: use a plataforma para coletar relatórios de vulnerabilidade e resolvê-los por conta própria ou deixe os especialistas da Hackerone fazerem o trabalho duro (triagem). Triagem é simplesmente o processo de compilar relatórios de vulnerabilidade, verificá-los e se comunicar com hackers.

O Hackerone é usado por grandes nomes como Google Play, PayPal, GitHub, Starbucks e similares, então é claro, é para quem tem bugs graves e bolsos sérios. ��

Bugcrowd

Bugcrowd oferece várias soluções para avaliações de segurança, sendo uma delas a Bug Bounty. Ele fornece uma solução SaaS que se integra facilmente ao seu ciclo de vida de software existente e facilita a execução de um programa bem-sucedido de recompensa de bugs.

Você pode optar por ter um programa particular de recompensas por bugs que envolva alguns hackers selecionados ou um público que colabore para milhares.

SafeHats

Se você é uma empresa e não se sente à vontade para tornar público seu programa de recompensas por bugs – e, ao mesmo tempo, precisa de mais atenção do que a oferecida por uma plataforma típica de bugs – SafeHats é sua aposta mais segura (trocadilho terrível, hein?).

Consultor de segurança dedicado, perfis detalhados de hackers, participação apenas para convidados – tudo isso é fornecido dependendo das suas necessidades e maturidade do seu modelo de segurança.

Intigriti

Intigriti é uma plataforma abrangente de recompensas de bugs que conecta você a hackers de chapéu branco, seja para executar um programa privado ou público.

Para hackers, há muitos recompensas agarrar. Dependendo do tamanho e do setor da empresa, estão disponíveis caçadas de 1.000 a 20.000 euros.

Synack

Synack parece ser uma daquelas exceções de mercado que quebram o molde e acabam fazendo algo maciço. O programa de segurança deles Hackear o Pentágono foi o grande destaque, levando à descoberta de várias vulnerabilidades críticas.

Portanto, se você procura não apenas a descoberta de bugs, mas também orientações e treinamento de segurança no nível superior, Synack é o caminho a percorrer.

Conclusão

Assim como você fica longe de curandeiros que proclamam “curas milagrosas”, fique longe de qualquer site ou serviço que diga que a segurança à prova de balas é possível. Tudo o que podemos fazer é dar um passo mais perto do ideal. Dessa forma, não se espera que os programas de recompensas por bugs produzam aplicativos com zero bugs, mas devem ser vistos como uma estratégia essencial para eliminar os realmente desagradáveis.

Veja isso curso de caça de bugs se procura aprender e ganhar hall da fama, recompensas, apreciação.

Espero que você esmague muitos deles! ��

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map