26 Abr 2017

Que los programas “bug bounty” vuelvan a tener éxito

Proyectos Especiales Seguridad

Desde que me uní a Kaspersky Lab hace casi dos años, siempre he pensado que David Jacoby es uno de los investigadores más extrovertidos y alegres de la empresa. Además de crear memes de seguridad para Halloween, también ayudó en el equipo GReAT de la empresa e, incluso, también ha permitido que un equipo cinematográfico visite su casa (al estilo de MTV).

Entre todo lo que nos hace pensar que David parece un tipo muy con mucha onda, Jacoby podría haberse superado en el Security Analyst Summit. Todo empezó con su siguiente afirmación en el segundo día de conferencias:

“Tenemos mucho dinero en esta industria… tenemos mucho, pero hacemos muy poco. ¿Cuándo fue la última vez que hicieron algo bueno?”

A partir de esa pregunta, empezó a contar la historia de un proyecto de fin de semana nacido en colaboración con Frans Rosén (de Detectify) en el que buscaban bugs por caridad. El objetivo inicial que ambos establecieron fue 10,c000 dólares. Aunque no lo alcanzaron, descubrieron algo más interesante.

“La verdad es que estuvo genial, contactamos con compañías que nunca hubieran participado en un programa de recompensas bug bounty (habrían dicho que no contaban con presupuesto)”, afirmó Jacoby. “Pero hablé con los departamentos de marketing de las empresas, los cuales sí tenían dinero y querían ayudar a la caridad”.

De esas conversaciones, Jacoby, Rosén y otros tres investigadores tuvieron la idea de realizar tests de penetración pro bono en un período de 24 horas. En lugar de un pago, los investigadores solicitaron una donación a una organización de caridad de elección de la empresa.

“Todo el mundo quería hacerlo. Fue genial”, afirmó Rosén.

Para Bahnof, un proveedor sueco, les pareció muy buena idea. Jacoby destacó que ahora donan dinero mensualmente a la caridad por este tipo de pruebas.

“Eso demuestra que la gente quiere esto”, según Jacoby.

Esta charla sobre un programa bug bounty altruista también caló en nuestro equipo y decidimos ponernos en contacto con Jacoby para hablar de ello.

Kaspersky Daily: ¿Crees que un componente benéfico haría que más hackers de sombrero blanco contribuyeran al bienestar social?

David Jacoby: Para ser sincero, no creo que cambie la forma de pensar de la gente el hecho de participar en, por ejemplo, programas bug bounty. Creo que se crearán otro tipo de colaboraciones entre comerciantes y organizaciones benéficas o empresas de seguridad, y ello a la larga involucraría a más personas.

Además, contribuir al bienestar social debería ser algo fundamental en nuestras vidas. Solo tenemos una vida, ¿por qué no hacemos que sea tan buena como podamos para todos?

Kaspersky Daily: En tu charla, señalaste que hubo una empresa que quería usar el dinero para que niños asistieran a conferencias de seguridad. ¿Crees que tener un programa para promover la seguridad entre los jóvenes podría alentar a más hackers de sombrero blanco y una seguridad mejor en, digamos, el Internet de las Cosas?

David Jacoby: Mi punto de vista sobre el IdC es muy negativo porque muchos dispositivos de este tipo son creados por empresas que no están en la industria de seguridad (se dedican a los electrodomésticos y al entretenimiento), por lo que no creo que suponga ninguna diferencia.

Cuando pienso en conferencias de seguridad, tengo una sensación extraña: enseñas a gente que ya está dentro de la industria informática cosas divertidas y cobramos una cantidad ridícula por cada entrada. Si de verdad queremos marcar una diferencia, deberíamos invitar a, por ejemplo, estudiantes que pronto serán nuestros colegas. ¿Por qué enseñamos a las personas que ya saben informática? No tiene ningún sentido.

Kaspersky Daily: ¿Crees que añadir un componente caritativo a un programa bug bounty podría hacer crecer la participación de las personas en programas generales?

David Jacoby: Espero que sí. Quiero cambiar el mundo, o al menos intentarlo. Mi visión es añadir programas de caridad a casi cualquier cosa. Te daré un ejemplo: En Suecia hay máquinas de reciclado para latas de refresco vacías. Esas máquinas tienen dos botones, uno es Donar y el otro para que consigas dinero en efectivo.

Si quiero donar el dinero, debería hacerlo. Lo mismo sucede con todo. ¡Deberíamos ser creativos y tener más ideas de este tipo!

Hablando de programas bug bounty, recientemente Kaspersky Lab ha ampliado su programa bug bounty con HackerOne para incluir más productos e incrementar algunas recompensas.