INICIO FOROS ÍNDICES DIVISAS MATERIAS PRIMAS CALENDARIO ECONÓMICO

Autor Tema: Los piratas que hicieron del hackeo una empresa...  (Leído 114 veces)

OCIN

  • Moderador
  • Excelente participación
  • ***
  • Mensajes: 97.744
  • Karma: +8/-12
  • Sexo: Masculino
Los piratas que hicieron del hackeo una empresa...
« en: Junio 22, 2015, 06:36:22 pm »
Por...  Nicole Perlroth



La reciíén creada compañí­a HackerOne está compuesta por un grupo de hackers dedicados a encontrar vulnerabilidades en los sistemas de las grandes empresa, a fin de recibir recompensas por sus hallazgos.

En el 2011, dos piratas ciberníéticos holandeses, de veinte y pico de años, hicieron una lista de las 100 compañí­as de alta tecnologí­a a las que tratarí­an de entrar. Rápidamente, encontraron vulnerabilidades de seguridad en Facebook, Google, Apple, Microsoft, Twitter y 95 otros sistemas de empresas. Llamaron a su lista Hack 100.

Cuando alertaron a los ejecutivos de esas compañí­as, cerca de una tercera parte no les prestó atención. Otro tercio, les dio las gracias, cortíésmente, pero nunca arreglaron las fallas, mientras que el resto se apresuró a resolver sus problemas. Afortunadamente para los jóvenes piratas ciberníéticos, nadie llamó a la policí­a.

Ahora la pareja, Michiel Prins y Jobert Abma, está entre los cuatro cofundadores de la empresa emergente en tecnologí­a, en San Francisco, que se orienta a convertirse en una mediadora entre las compañí­as con problemas de ciberseguridad y piratas como ellos que buscan solucionar problemas en lugar de causarlos.

Esperan que su establecimiento, llamado HackerOne, pueda persuadir a otros piratas para que reporten, en forma responsable, las fallas de seguridad, en lugar de explotarlas, y conectar a esos “sombreros blancos” con las compañí­as que estíén dispuestas a pagar una recompensa por sus hallazgos.

En el último año, la empresa emergente ha persuadido a algunos de los nombres más grandes en la tecnologí­a – incluidas Yahoo, Square y Twitter – y empresas, como bancos y compañí­as petroleras, que nunca se esperarí­a que trabajaran con su servicio. Tambiíén han convencido a capitalistas de riesgo de que, dado que hay miles de millones de aparatos más que se mueven en la red y que es inevitable que cada uno tenga fallas, HackerOne tiene el potencial de ser muy lucrativa. HackerOne recibe una comisión de 20 por ciento sobre cada recompensa que se paga por medio de su servicio.

“Cada compañí­a va a hacer esto”, notó Bill Gurley, un socio en Benchmark, que invirtió nueve millones de dólares en HackerOne. “No probar esto es estar descerebrado”.

La alternativa a los llamados programas de recompensa por errores moderados es apegarse al actual modelo de incentivos perversos. Los “hackers” que encuentran agujeros en los sistemas corporativos pueden, dependiendo de la gravedad, esperar sumas de seis dí­gitos al vender sus descubrimientos a delincuentes o gobiernos, donde esas vulnerabilidades están almacenadas en ciberarsenales y es frecuente que nunca las arreglen. En forma alternativa, cuando les pasan las debilidades a las empresas para que las arreglen, es frecuente que ignoren a los piratas o los amenacen con la cárcel.

En esencia, la gente con las habilidades para arreglar los problemas de seguridad en internet tiene más razones para dejarla totalmente abierta a un ataque.

“Queremos facilitarles las cosas y que sean provechosas para que el siguiente grupo de 'hackers’ hábiles tenga una carrera viable si se queda en la defensa”, señalo Katie Moussouris, directora de normas de HackerOne, quien fue pionera en el programa de recompensas en Microsoft. “En este momento, estamos sobre la barda”.

Prins y Abma empezaron HackerOne con Merijn Terheggen, un emprendedor holandíés que vive en Silicon Valley. Los tres conocieron al cuarto cofundador por medio del esfuerzo Hack 100, cuando enviaron un correo electrónico en el que alertaban a Sheryl Sandberg, la directora de operaciones de Facebook, sobre una vulnerabilidad en sus sistemas.

Sandberg no solo les dio las gracias, sino que imprimió su mensaje, se lo entregó a Alex Rice, el gurú de seguridad en los productos en ese momento, y le dijo que la corrigiera. Rice invitó a los piratas a comer, trabajó con ellos para arreglar el programa, les pagó una recompensa de 4 mil dólares y se les unió un año despuíés.

“Toda tecnologí­a tiene vulnerabilidades y si no tienes un proceso público para que los 'hackers’ responsables las reporten, solo te vas a enterar de ellas por los ataques en el mercado negro”, explicó Rice. “Eso es simplemente inaceptable”.

No es ningún secreto que, en forma constante, los ciberdelincuentes están escaneando los sistemas corporativos en busca de debilidades o que dependencias gubernamentales las están acumulando.

Los ciberdelincuentes utilizaron una de esas debilidades en un servicio de aire acondicionado para meterse a fuerza en el sistema de pagos de Target. Tales fallas son crí­ticas en los esfuerzos gubernamentales de vigilancia, así­ como ingredientes cruciales en ciberarmas como Stuxnet, el gusano informático desarrollado por Estados Unidos e Israel, para el cual se usaron varios errores a fin de encontrar el camino para ingresar y destruir las centrí­fugas de uranio en una instalación nuclear iraní­.

Los errores son tan crí­ticos para los ciberarsenales del gobierno que una dependencia del gobierno estadounidense les pagó medio millón de dólares a unos piratas ciberníéticos por una inseguridad informática en el sistema operativo iOS de Apple. Esta compañí­a no le habrí­a pagado nada al pirata por arreglaros. Otra quizá habrí­a llamado a la policí­a.
Ese es precisamente el tipo de incentivo perverso – castigar a los programadores que arreglan errores y recompensar a quienes nunca informan – que HackerOne quiere cambiar.

Las compañí­as de tecnologí­a empezaron a recompensar a los piratas hace cinco años, cuando Google empezó a pagarles 3,133.70 dólares por errores (31337 es el código “hacker” para “elite”).

Desde entonces, Google ha pagado algo así­ como 150 mil dólares en una sola recompensa y distribuido más de cuatro millones de dólares entre los piratas. Rice y Moussouris ayudaron a liderar los programas de recompensas en Facebook y Microsoft.

Otros se están dando cuenta de que ya no impacta simplemente darles críédito o mandarles alguna cosa.

Ramses Martinez, el director de seguridad de Yahoo, dijo que lanzó el programa de recompensas en el 2013, despuíés de que dos “hackers” arremetieron contra Yahoo porque les mandaron camisetas a cambio de cuatro errores con los que pudieron haberse embolsado miles de dólares en el mercado negro. Ahora, Martinez dice que considera que las recompensas por errores son “pan comido”.

“Ahora que suficientes compañí­as grandes y muy conocidas echaron a andar esto, se acabó mucho del miedo a estos programas”, dijo.

Sin embargo, la mayorí­a de ellas todaví­a no les paga a los programadores por sus hallazgos, incluida Apple, que reportó alrededor de 100 problemas de seguridad este año – algunos tan graves que permitieron a los atacantes secuestrar las contraseñas de los usuarios.

Claro que con una etiqueta de 500 mil dólares pegada a una inseguridad informática en Apple – equivalente a todo lo que Microsoft ha desembolsado para los “hackers” a la fecha _, las recompensas de aquíélla tendrí­an que ser bastante altas para equipararse a las tarifas del mercado.

“Muchas empresas tienen piratas; solo que no lo saben”, comentó Terheggen, ahora director ejecutivo de HackerOne. “Los malos ya están allí­. Los buenos no aparecen a menos que los invites”.

Alrededor de mil 500 piratas están en la plataforma de HackerOne. Han arreglado cerca de 9 mil errores y se han embolsado más de tres millones de dólares en recompensas. Para las compañí­as que apenas están empezando a considerar las recompensas por los errores, HackerOne les ofrece una comunidad de “hackers” respetables y maneja los trámites administrativos, incluidos los pagos y las formas fiscales.

HackerOne no es la única compañí­a en el espacio. Compite con programas de recompensa que sus fundadores ayudaron a iniciar en Facebook, Microsoft y Google (Chris Evans, un asesore en HackerOne, ayudó a liderar el programa en Google).

Algunas compañí­as, como United Airlines, empezaron hace poco su propio programa. United empezó a ofrecerles a los “hackers” millas gratuitas por usuario frecuente despuíés de que un investigador en seguridad tuiteó sobre las vulnerabilidades del sistema wifi en el vuelo y le dijo a la FBI que habí­a examinado las redes del avión durante el mismo.

HackerOne tambiíén compite con Bugcrowd, una empresa emergente similar que cobra a las empresas una tarifa anual por manejar sus programas de recompensas. Bugcrowd trabaja con compañí­as jóvenes, como Pinterest, e instituciones como Western Union.

HackerOne y sus competidores podrí­an enfrentarse a significativos obstáculos regulatorios en los próximos meses. Los funcionarios están considerando hacer cambios al Wassenaar Arrangement, un acuerdo de control de exportaciones de 20 años de antigí¼edad entre 40 paí­ses – incluidos Rusia, algunos europeos y Estados Unidos – para que los investigadores obtengan permiso de los gobiernos antes de entregar sus artificios a una compañí­a extranjera.

“Es posible que a los gobiernos no les importe dejar pasar problemas leves, pero los problemas crí­ticos pudieran ser otra cuestión”, dijo Kymberlee Price, el director síénior de operaciones de seguridad en Bugcrowd. “¿Realmente deberí­amos dejarle al gobierno ruso que decida si un investigador puede informar de una vulnerabilidad a Citibank?”.


•... “Todo el mundo quiere lo máximo, yo quiero lo mínimo, poder correr todos los días”...
 Pero nunca te saltes tus reglas. Nunca pierdas la disciplina. Nunca dejes ni tus operaciones, ni tu destino, ni las decisiones importantes de tu vida al azar, a la mera casualidad...