211service.com
El crowdsourcing para la búsqueda de errores de software es un negocio en auge y arriesgado
Jorge Wylesol
Son los Ubers del mundo de la seguridad digital. En lugar de emparejar conductores independientes con pasajeros, empresas como Bugcrowd y HackerOne conectan a personas a las que les gusta dedicar tiempo a buscar fallas en el software con empresas dispuestas a pagarles por los errores que encuentran.
Esta economía de la ciberseguridad se ha expandido a cientos de miles de piratas informáticos, muchos de los cuales han tenido alguna experiencia en la industria de la seguridad de TI. Algunos todavía tienen trabajos y cazan errores en su tiempo libre, mientras que otros se ganan la vida trabajando por cuenta propia. Desempeñan un papel esencial para ayudar a que el código sea más seguro en un momento en que los ataques aumentan rápidamente y el costo de mantener equipos de seguridad internos dedicados se dispara.
Los mejores detectores de errores independientes pueden ganar sumas significativas de dinero. HackerOne, que tiene más de 200.000 usuarios registrados, dice que alrededor del 12 por ciento de las personas que utilizan su servicio se embolsan 20.000 dólares o más al año, y alrededor del 3 por ciento gana más de 100.000 dólares. Los piratas informáticos que utilizan estas plataformas provienen principalmente de los EE. UU. y Europa, pero también de países más pobres donde el dinero que pueden ganar lleva a algunos a trabajar a tiempo completo en la búsqueda de errores. (Para obtener un perfil de un hacker ético independiente con sede en Filipinas, consulte nuestra serie Trabajos del futuro).
Limpiadores de código
Cada vez más empresas grandes como GM, Microsoft y Starbucks están ejecutando programas de recompensas por errores que ofrecen recompensas monetarias a quienes detectan y reportan errores en su software. Las plataformas como Bugcrowd pueden ayudar alertando a la comunidad de piratas informáticos sobre los programas que se están lanzando, priorizando los errores enviados a las empresas y manejando cosas como los pagos.
Richard Rushing, director de seguridad de la información del fabricante de teléfonos inteligentes Motorola Mobility, dice que le gustan mucho las búsquedas de errores de crowdsourcing porque significa que muchos ojos están examinando constantemente el código y porque los cazadores independientes informan fallas de software rápidamente para obtener recompensas antes que los rivales.
Historia relacionada
Historia relacionada La investigación cibernética independiente es una carrera profesional realista, si puedes vivir a bajo precio.Además, en un momento en que los expertos pronostican que 3,5 millones de trabajos de seguridad cibernética en todo el mundo estarán vacantes para 2021 porque no hay suficientes trabajadores calificados, los trabajadores independientes pueden aliviar parte de la tensión en los equipos internos.
Aún así, las plataformas enfrentan un par de grandes desafíos. Una es seguir ampliando el grupo de cazadores de insectos talentosos. Otra es establecer una mayor claridad legal sobre qué herramientas y técnicas pueden usar los hackers éticos de manera segura. Las tácticas populares, como el uso de ataques de inyección, que implican la inserción de código en aplicaciones de software que podrían cambiar la forma en que se ejecutan los programas, podrían conducir a un enjuiciamiento según las leyes contra la piratería, como la Ley de abuso y fraude informático de Estados Unidos (CFAA).
Ya ha habido casos en los que los investigadores de seguridad y los reporteros han enfrentó posibles acciones legales para descubrir y reportar vulnerabilidades en el código de las empresas. Solo se necesitarían un par de juicios de alto perfil para tener un efecto escalofriante en la industria.
hacker unido
Para abordar el desafío del talento, las plataformas de crowdsourcing están publicando mucho más contenido para ayudar a los piratas informáticos a mejorar sus habilidades y atraer a más personas al trabajo. Bugcrowd acaba de presentar Bugcrowd University, que ofrece seminarios web gratuitos y guías escritas para cosas como Burp Suite (sí, ese es realmente el nombre), que es una herramienta gráfica para probar la seguridad de las aplicaciones web.
La plataforma también está trabajando con hackers éticos experimentados para ayudarla a detectar y capacitar a autónomos prometedores. Los mejores reclutas son curiosos, tenaces y dispuestos a adaptarse rápidamente. La tecnología está evolucionando tan rápido que a menudo es difícil ponerse al día [con ella], explica Phillip Wylie, el buscador de talentos de Bugcrowd en Dallas.
HackerOne también está publicando más material de capacitación y entrena a los cazadores de errores independientes, que pueden ser personajes extravagantes y, a veces, abrasivos, en habilidades blandas, como cómo comunicarse de manera más efectiva con los departamentos de TI corporativos.
Cobertura aérea legal
En el frente legal, las plataformas están presionando para que se inserte un lenguaje más seguro en los contratos que rigen las recompensas por errores. El objetivo, dice Adam Bacchus de HackerOne, es lograr que las empresas tengan claro que si los piratas informáticos siguen las reglas de participación dentro de lo razonable, no terminarán siendo llevados a juicio.
Bugcrowd se ha asociado con Amit Elazari, un investigador de seguridad Cuyo trabajo ha destacado la necesidad de un lenguaje de puerto seguro, para lanzar una iniciativa llamada disclose.io para crear un marco estandarizado para encontrar y reportar errores. Esto proporcionaría una autorización explícita para usar técnicas de búsqueda de errores que normalmente serían violaciones claras de las disposiciones de los estatutos contra la piratería.
complementa un impulso más amplio en los EE. UU. por grupos como Electronic Frontier Foundation para evitar que las empresas utilicen leyes como la CFAA para silenciar a los investigadores que encuentran fallas graves y las divulgan de manera responsable.
Casey Ellis, fundador y presidente de Bugcrowd, dice que otros países, como el Reino Unido y Alemania, también tienen leyes estrictas contra la piratería informática que podrían utilizarse para obstaculizar la piratería ética.
Tales leyes son necesarias para evitar que los piratas informáticos de todo tipo causen estragos. El desafío por delante es lograr un equilibrio sensato entre proteger a los piratas informáticos éticos y proteger a las empresas de los deshonestos que buscan causar daño. Hacer esto bien no será fácil, pero dada la grave escasez de talento en el mundo de la ciberseguridad, es un problema que debemos abordar con urgencia.
Actualización (27 de agosto): este artículo se ha actualizado para mostrar el papel de Amit Elazari en el lanzamiento de divulgar.io