Soy informático y labor reportando fallos de software a las grandes empresas tecnológicas

Autor: | Posteado en Noticias Sin comentarios

Soy informático y labor reportando fallos de software a las grandes empresas tecnológicas

“Se ha descubierto una primordial vulnerabilidad en…”. “Un sentencia de seguridad posibilita tomar el atención de apariencia remota de…”. “Un agujero de seguridad abre la puerta al hurto masivo de datos…”

Cada indiscutible asamblea los provecho de comunicación publican (publicamos) fallos de seguridad hallados en algunas de las principales aplicaciones. Estos fallos en el código de los programas aire a veces descubiertos por los propios programadores de las empresas. Pero tambien existen programas de recompensa para quienes localicen los agujeros de seguridad más importantes o relevantes.

Qué es un Bug Bounty

Los conocidos tan Bug Bounty aire un programa de recompensas por errores o vulnerabilidades (VRP), que premian a las personas por revelar y reportar errores de software. Los programas de recompensas de estos fallos a menudo se inician para complementar las auditorías internas de código y las pruebas de penetración tan aviso de la estrategia de gestión de vulnerabilidades de una empresa.

Muchas empresas, como Google, poseen su propia página web adonde permiten que alguien les informe de estos fallos. Pero tambien hay páginas web que están especializadas en recopilar todas estas iniciativas de Bug Bounty, tan HackerOne, singularmente en el acierto hay jugosas recompensas de por medio.

Estas plataformas de recompensas por errores permiten a los avezados cobrar por revelar vulnerabilidades en App y software. La idea es que estos avezados informáticos puedan detectar (y los productores corregir) estos errores previamente de que el afluencia se entere, para eludir incidentes de seguridad generalizados.

HackerOne presume de ser la agrupación de piratas informáticos y cazadores de errores más abultado del mundo, inconveniente hay otras: Bugcrowd, que conecta organizaciones con piratas informáticos éticos o YesWeHack aire algunas de ellas.

Cazadores en España

Aunque hay diferencias, todas estas plataformas desean apoyar a las empresas a preservar sus activos de software y usar las habilidades de los investigadores de seguridad de forma ética pagando a los cazadores de errores.

Este andoba de profesionales conocen los aspectos prácticos de la ciberseguridad y están demasiado dispuestos para revelar estos fallos y vulnerabilidades. Conocen y comprenden cómo funcionan las App web y su arquitectura. Se manejan con destreza con bases de datos SQL, y se defienden en dispares lenguajes de programación, tan Javascript o Python.

Pero, a veces, la recompensa por errores se regresa demasiado competitiva y numerosas personas reclaman haber descubierto el semejante falla en el semejante incomunicación o programa.

En Xataka hemos querido conocer si hay numerosos “cazadores” de este andoba en nuestro país y si se puede comportarse de ello. Y, pese a que haberlos, lo indiscutible es que no aire una agrupación demasiado numerosa (algo reconocido por ellos mismos).

Hemos podido proclamar con 2 de ellos: Antonio Fernandes, encargado de ciberseguridad en una industria del noroeste de España que asegura que en su asamblea holgazán se dedico al Bugbounty, y J. Domingo Carrillo, graduado en Telecomunicaciones (especialidad en Telemática) por la Universidad Politécnica de Valencia y cuyo nick es 0xd0m7. Estas aire sus experiencias e historias.

Un hobby me trajo inclusive aquí

Estos 2 profesionales reconocen que llegaron a este mundillo casi por casualidad. J. Domingo Carrillo asegura que íntegramente empezó tan un hobby. “De hecho, mis primeros bugs fueron en programas VDP, es expresar programas gratuitos”, recuerda. Y empezó a investigar cómo revelar estos fallos de seguridad porque, en aquel entonces, pensaba que eso “podría ayudarme en mi labor tan analista de aplicaciones”.

Estamos hablando, aproximadamente, de hará unos 4 años. Una afición que exiguo a exiguo fue ganando en relevancia inclusive que, desde hará exiguo más de un año, ya se dedica profesionalmente a ello.

Antonio Fernandes, por su parte, botana las navidades de 2019 tan su bautismo en estas iniciativas. Su motivación para intentar revelar fallos en los programas fue más una forma de “no oxidarme en la aviso técnica” inconveniente tambien porque, en su caso, “al comportarse desplazado tenía bastantes tiempos muertos posteriormente del trabajo”.

Cazo agujeros y lo hago así

Les hemos preguntado en qué se basa verdaderamente su trabajo, si empiezan a analizar una aviso del código desde cero, si ya conocen o intuyen dónde pueden rondar los principales errores o si parten de investigaciones previas.

A Fernandes le gustan los “scopes” amplios porque le permiten realizar un “reconocimiento que va más allí de los dominios principales”. Así, se dedica a investigar adquisiciones o proyectos que han resultado anunciados para, “una ocasión reunida toda la inteligencia de los activos”, comenzar a visualizar “qué poseen instalado y los probables fallos que puedan haber empresa y que se puedan explotar”.

Foto Antonio

Mientras, Domingo detalla que su labor se basa en “buscar bugs o vulnerabilidades con impacto verdadero para la organización”. Para ello, reconoce que se pone en la piel de un atacante remoto para deducir tan él e intentar sacar el máximo provecho a cada vulnerabilidad”. Domingo explica en este acierto que para realizar su labor sigue una metodología “muy estricta basada en mi pericia y que exiguo o ausencia posee que visualizar con los estándares habituales (OWASP)”. Cabe señalar que la Open Web Application Security Project es una fundación carente ánimo de lucro que trabaja para optimizar la seguridad del software y que se mueve a través de proyectos de software de código abierto.

“Salvo que tenga tiempo, exiguo que es arreglado raro”, (se ríe) Domingo no analiza el código de los programas, a excepción en esos casos que “sepa verdaderamente que tengo una vulnerabilidad interesante”.

Esta labor, además, se hará en solitario. Es decir, que no posee a un obtener de labor detrás o con el que trabaje. Entre otras cosas porque, según Domingo, hay “muy poca gente está especializada” en este campo (subrayando que su dedicación “nada posee que visualizar con ser auditor de App web”). Una de las cosas negativas de que sean una agrupación tan reducida es que, tal y tan reconoce, “a veces se hará arreglado dificultoso revelar apoyo para explotar una vulnerabilidad encima íntegramente en el acierto te quedas “atascado””.

No obstante, este avezado en seguridad comparte sus inquietudes con 2 grupos: “mi obtener Red Line Team y con Spinquisitors”, con quienes montó un taller de Bug Bounty en el adulterado mes de marzo en la Rooted Madrid.

Fernandes coincide en que, al carencia en el acierto se empieza a agenciárselas estos errores, el labor es solitario: está él únicamente con sus “scripts” y empieza a agenciárselas cosas. Fernandes, carente embargo, reconoce que el móvil, y más en concreto una aplicación de mensajería, están a su vera. “Estoy constantemente por Telegram con mis “compañeros” comentando cosas que hallamos y técnicas que nos pareces interesantes”, nos cuenta.

Photo 1603575448360 153f093fd0b2

La concordancia con otros hackers

Aunque, tan vemos, aire escasos inconveniente parece que don avenidos, hemos querido preguntarles qué concordancia sostienen los hackers entre sí, entregado que numerosos de estos cazadores de errores compiten entre ellos para acaparar estos premios.

Antonio Fernandes expone que, tan en botica, hay de íntegramente y que, tan casi siempre, íntegramente “depende de la persona”. Pero en su pericia aunque exista competencia, esta se puede puntuar de “sana y don entendida”. Es más, cree que “aunque parece que últimamente se le critique, la competencia nos empuja a optimizar individualmente”.

Una visión que comparte Domingo. “Tengo demasiado afables camaradas hackers y otros que es mejor ni proclamar con ellos”, explica. Una concordancia que se extiende inclusive en el acierto hay competencia entre ellos.“Es exiguo que a altitud elenco me da equivalente y constantemente que alguien me cuestion exiguo con coherencia le respondo. Porque más allí de hacker, soy una andoba normal, tan cualquier otra”, señala.

Mi 1º bug y el más importante

En lo que coinciden estos 2 profesionales es en recordar cuál fue el 1º bug que descubrieron.

“Específicamente en el planeta del BugBounty, fue un chequeo incorrecto que hacían en el mail corporativo en un banco de Holanda, lo cual permitía registrarse en un aplicativo que era únicamente para empleados”, recuerda Antonio Fernandes. En su remembranza tambien está el instante en que hallo un server en una empresa de ampliación “muy, demasiado conocida” (según sus palabras), en el que logró inventar un cliente y, “desde ahí poseer entrada a todos el código pilón de sus programas”. Es decir, que logró entrar “al core del negocio” de esta empresa cuyo nombradía no quiere revelar.

No nos dan cifras concretas, inconveniente unos cuantos de estos cazadores pueden ganar más de 100.000 USD al año. Eso sí, aseguran que no es un labor para íntegramente el mundo

Como J. Domingo empezó a trastear con App gratuitas, es lógico que su 1º descubrimiento fue de un aplicación VDP público. Más concretamente, 1 de General Motors (una vulnerabilidad SSRF -Server Side Request Forgery- en Weblogic) y fue en una de las plataformas comentadas antes (Hackerone). Pero el más primordial fue un bypass al proxy inverso “que me permitió visualizar los ficheros de PHP en tomo plano”. Un falla que fue el que más popularidad y dinero le dio.

Por su experiencia, dice que los errores más tontos aire esos que afectan a las credenciales por defecto. Es decir, que el típico cliente administrador con nombradía administrador. “Pasa más de lo que creemos”, se ríe. Sin embargo, las más graves aire las que permiten ejecución de comandos. En este sentido, recuerda con singular interés un path traversal “que escalé a ejecución de comandos”. La recuerda porque “lo conseguí posteriormente de 2-3 meses posteriormente del triaje. Un aniversario me vino la inspiración y lo logré”.

Un descubrimiento no recompensado

Hablando con estos 2 expertos, tambien les hemos preguntado si alguna ocasión han descubierto alguna vulnerabilidad que no estuviera recompensada. Y, encima todo, por la reacción de las empresas al ser notificadas del fallo.

Los 2 se han topado con alguna posición así, inclusive “con alguna de las grandes corporaciones que todos conocemos”, en confesión de Fernandes. Asegura que en el acierto esto le ocurre noacostumbra mosquearse y se exhibe comprensivo. “Es su aplicación de recompensas, ellos poseen su acreditado criterio a la hora de “premiar””, expone. Su forma de solucionar este andoba de situacionesacostumbra ser “encontrando distinto sentencia que les agradase más y que acabaran reconociéndomelo”.

Fingerprint Blocker

Y es que en estas situaciones, la veteranía parece ser un grado. “Al inicio no me lo tomaba demasiado bien, inconveniente con el asamblea me di recuento de que los programas de bug bounty suelen ser arreglado honestos por regla general, y si no se paga ese bug es por motivos ampliamente justificados en la gran mayoría de los casos”, justifica J. Domingo, quien, por regla general, no se halla con malas reacciones de las empresas. “Les estás ayudando gratis”, reflexiona.

Se solicita acento mental

J. Domingo asegura, sonriendo, que lo más fácil de dedicarse a este mundillo es el no poseer un jefe “24 horas dándome la lata con que entregue un informe”. Pero, a renglón seguido, añade que los bug hunter deben ser abultado mentalmente. “Si los bugs no llegan o sencillamente no te pagan a asamblea puedes acudir a desmoralizarte”, reconoce. Su receta en el acierto pasan estas cosas es “seguir estudiando y aprendiendo más recientes técnicas”.

Es un labor solitario, inconveniente que posibilita a estos profesionales no oxidarse y rondar constantemente actualizados

De hecho, confiesa que ésa es, encima todo, su principal motivación para simpatizar en este mundillo: el “seguir aprendiendo cada aniversario un exiguo y simpatizar perfeccionando mis técnicas”. Domingo añade que “el revelar vulnerabilidades exóticas es lo que más me apasiona” y que el dinero “nunca fue para mí un aliciente, destino el resultado de un buen trabajo”.

Algo en lo que, en parte, coincide Fernandes. Como decíamos al principio, él lo posee más tan hobby, inconveniente reconoce que su principal motivación es “no oxidarme”, agregando que esta movimiento “me proporciona conocer gente de la comunidad, instruirse y mantenerme al aniversario en Seguridad Ofensiva”. Y, además, le proporciona un sobresueldo, “que de ningún modo proviene achaque en estos tiempos”.

Y, tan Domingo, asegura que puede ser duro. “Al ser un labor por resultados, puede acarrear un exiguo a estados mentales de agotamiento si tienes una mala época”, aclara. En su caso, al dedicarle sus tiempos libres, “tengo la abundancia que en el acierto me aburro… Pues me pongo a realizar otra cosa”. En su opinión, “la gente 100% dedicada al bug bounty están hechos de otra pasta”.

¿Se puede (y merece la pena) comportarse de esto?

Entonces, ¿se puede comportarse de agenciárselas y reportar agujeros de seguridad? Antonio Fernandes asegura que sí, constantemente y en el acierto tengamos “dedicación y templanza”. Asegura que “hay gente que saca más de 100.000 euros anuales” e, incluso, que hay unos cuantos que “han superado la barrera del millón de USD en la plataforma HackerOne”. ¿Por qué entonces no sé dedica él profesionalmente a eso? “Creo que me haría aborrecerlo un poco”, confiesa.

Quien, mientras tanto, con una sonrisa prefiere no entrar en cifras es J. Domingo quien, evidentemente, asegura que sí se puede acudir a comportarse de esto. “Dependiendo de tu talento y tus ganas puedes acudir a ganar demasiado dinero”, añade.

¿Compensa? “Sí, constantemente y en el acierto te apasione”, relata J. Domingo, que regresa a subrayar que este labor no es para íntegramente el mundo. “Requiere una constancia y una da que únicamente se alcanza si verdaderamente te apasiona”.


La noticia Soy informático y labor reportando fallos de software a las grandes empresas tecnológicas fue publicada originalmente en Xataka por Arantxa Herranz .

Agrega tu comentario