slide1

Alt1040. Noticias acerca de Internet, diseño, música, cine, opiniones, weblogs y medios

Es uno de los weblogs de tecnología más seguidos de la blogosfera hispana.

slide2

Bitelia. Blog de software, internet y servicios web

Software y aplicaciones para mejorar tu vida, guías de uso, trucos, listas, noticias y todo sobre tecnología.

slide3

Xataka. Publicación de noticias sobre gadgets y tecnología.

Últimas tecnologías en electrónica de consumo y novedades tecnológicas en móviles, tablets, informática, etc.

slide4

Wwwhatsnew. Aplicaciones, marketing y noticias en la web.

Servicios que os pueden ser útiles para dibujar, gestionar tareas, hacer amigos, encontrar restaurantes...

slide5

Fayerwayer. Discusiones y opiniones de lo ultimo en tecnología y gadgets

Con secciones dedicadas a Internet, Software o Redes Sociales es un referente a nivel de tecnología en español.

Mostrando entradas con la etiqueta ciberseguridad. Mostrar todas las entradas
Mostrando entradas con la etiqueta ciberseguridad. Mostrar todas las entradas

11 de enero de 2016

HackerOne, conecta hackers con empresas

16:10  , ,  1 comentario

Creado por los líderes de seguridad de Facebook, Microsoft y Google, HackerOne es la primera plataforma de gestión de vulnerabilidades y recompensas de errores: todos los informes de vulnerabilidad en un solo lugar, administrados por el equipo de soporte de incidencias, proporcionando una fácil interacción entre los interesados ​​y recompensando a cualquier hacker en cualquier parte del mundo con un sólo clic.

En el año 2011, dos holandeses con 20 años de edad diseñaron una lista de objetivos de 100 empresas de alta tecnología que tratarían de hackear. En poco tiempo habían encontrado fallos de seguridad en Facebook, Google, Apple, Microsoft, Twitter y otras 95 empresas.

Cuando alertaron a los ejecutivos de esas empresas, alrededor de un tercio de ellos ignoraron el aviso. Otro tercio les dió las gracias pero nunca solucionaron las vulnerabilidades, mientras que el resto resolvió sus bugs de seguridad. Afortunadamente para los jóvenes hackers informáticos, nadie llamó a la policía.

Ahora Michiel Prins y Jobert Abma, se encuentran entre los cuatro co-fundadores de esta plataforma tecnológica ubicada en San Francisco que pretende convertirse en mediadora entre las empresas con problemas potenciales de ciberseguridad y hackers como ellos.
Esperan que su equipo, HackerOne, pueda persuadir a otros hackers para informar responsablemente de fallos de seguridad, en lugar de explotarlos, y conecte los "white hats" con empresas dispuestas a pagar una recompensa por sus hallazgos.

En el último año, la puesta en marcha ha convencido a algunos de los grandes de la tecnología - incluyendo Yahoo, Square y Twitter - y empresas como bancos y compañías petroleras se han puesto al servicio de esta iniciativa.
También han convencido a los inversores de capital riesgo que conocedores de los miles de millones de dispositivos móviles en línea y las vulnerabilidades inevitables, han visto en HackerOne un potencial muy lucrativo.
HackerOne recibe una comisión del 20 por ciento de cada una de las recompensas pagadas a través de su servicio.

Las compañías tecnológicas comenzaron a gratificar a los hackers hace cinco años cuando Google empezó a pagar a los hackers $3,133.70 por bugs (31337 es el código de la "élite" hacker). Desde entonces, Google ha llegado a pagar la cifra de $150,000 para una sola recompensa y ha repartido más de $4 millones a los hackers.

Cerca de 1.500 hackers forman parte de la plataforma HackerOne. Se han fijado alrededor de 9.000 bugs y recibido más de 3 millones de dólares en recompensas.

Para las empresas que están empezando a considerar el programa de errores, HackerOne les ofrece una comunidad de hackers de buena reputación y se encarga de los trámites de gestión, incluyendo los formularios de impuestos y pagos.

Además, han creado el programa Internet Bug Bounty cuyo panel premiará la investigación en las vulnerabilidades con graves consecuencias para la seguridad pública: aquellas que estén presentes en las implementaciones de múltiples proveedores o un proveedor con una cuota de mercado dominante y un gran número de usuarios finales.

El programa "Internet Bug Bounty" está formado por un grupo de voluntarios expertos en seguridad siendo responsables de la definición de las reglas del programa, la asignación de recompensas y mediar cualquier desacuerdo que pueda surgir:


¿Cómo funciona HackerOne? (english):





Algunas de las empresas que forman parte de la plataforma Hackerone:


Twitter
Twitter Square
Square Vimeo
Vimeo Adobe
Adobe Snapchat
Snapchat Dropbox Acquisitions
Dropbox Mail.Ru
Mail.Ru Slack
Slack InVision
InVision Flash
Flash Secret
Secret Yahoo!
Yahoo! The Internet
The Internet Phabricator
Phabricator Ruby on Rails
Ruby on Rails Ruby
Ruby Python
Python Django
Django Nginx
Nginx OpenSSL
OpenSSL PHP
PHP Perl
Perl Apache httpd
Apache httpd HackerOne
HackerOne


Puedes ver el listado commpleto en Directory Report Vulnerabilities to Companies's Security Teams


Leer más

21 de diciembre de 2015

¿sabías que Google paga recompensas por descubrir fallos de seguridad en sus productos?

12:00  ,  6 comentarios

Bug Security Google
La filosofía de seguridad de Google:
como proveedor de software y servicios para muchos usuarios, anunciantes y editores en Internet, Google apuesta fuertemente por ayudar a proteger su privacidad y seguridad.
Y lo hace proporcionando recompensas en efectivo (desde noviembre de 2010) para mejorar la calidad y seguridad de sus productos.

Google ofrece actualmente los siguientes programas de recompensa de seguridad:

En principio, cualquier servicio web propiedad de Google que maneja datos de usuario sensibles están en el alcance de estas recompensas. Esto incluye todo el contenido en los siguientes dominios:

  • *.google.com
  • *.youtube.com
  • *.blogger.com
Errores en aplicaciones y extensiones desarrolladas por Google (publicados en Google Play, en iTunes o en la Chrome Web Store) también calificarán.

Las empresas o servicios recién adquiridos están sujetos a un período de supervisión de seis meses. Los bugs reportados antes de ese periodo no califican para una recompensa.

Cualquier problema de diseño o implementación que afecta sustancialmente a la confidencialidad o integridad de los datos de usuario formará parte del programa.

Los ejemplos más comunes incluyen:

  • Cross-site scripting
  • Cross-site request forgery
  • Mixed-content scripts
  • Authentication or authorization flaws
  • Server-side code execution bugs
Cantidades de recompensa

Las recompensas por errores de clasificación van desde $100 a $20.000.
La siguiente tabla muestra las recompensas habituales elegidas para los errores más comunes:

Category Examples Applications that permit taking over a Google account [1] Other highly sensitive applications [2] Normal Google applications Non-integrated acquisitions and other sandboxed or lower priority applications [3]
Vulnerabilities giving direct access to Google servers
Remote code execution Command injection, deserialization bugs, sandbox escapes $20,000 $20,000 $20,000 $1,337 - $5,000
Unrestricted file system or database access Unsandboxed XXE, SQL injection $10,000 $10,000 $10,000 $1,337 - $5,000
Logic flaw bugs leaking or bypassing significant security controls Direct object reference, remote user impersonation $10,000 $7,500 $5,000 $500
Vulnerabilities giving access to client or authenticated session of the logged-in victim
Execute code on the client Web: Cross-site scripting
Mobile: Code execution 		$7,500 $5,000 $3,133.7 $100
Other valid security vulnerabilities Web: CSRF, Clickjacking
Mobile: Information leak, privilege escalation 		$500 - $7,500 $500 - $5,000 $500 - $3,133.7 $100

Además, ofrece la opción de donar tu premio a una organización benéfica. Si lo haces, Google duplicará su donación.
Cualquier recompensa sin reclamar después de 12 meses será donada a una organización benéfica de su elección.

Google no emite recompensas a las personas que están en las listas de sanciones, o que se encuentran en los países que forman parte de las listas de sanciones: Cuba, Irán, Corea del Norte, Sudán y Siria.

¿Quién determina si el informe es elegible para una recompensa?:

El panel de recompensa se compone de los miembros del equipo de seguridad de Google.
Actualmente, los miembros permanentes son Artur Janc, Eduardo Vela Nava, Jeremy Zimmer, Martin Straka, y Michal Zalewski.
También se incorporan al equipo otros miembros de forma rotativa.

¿Cómo reportar un informe de vulnerabilidad de Google?:

Accede a la siguiente dirección: Security Bug Report

¿Qué es bughunter.withgoogle.com?:

Es el tablero de instrumentos para todos los investigadores de seguridad que participan en el Programa de Recompensa de Vulnerabilidad (VRP) de Google.

Si quieres aparecer en el salón de la fama tienes que presentar un informe de error válido.
El salón de la fama se ordenan en función de una combinación de:

  • Cantidad: informes de errores válidos conducirán a una mejor clasificación. Informes falsos pueden llevar a un rango inferior.
  • Gravedad: errores más graves conducen a una mejor clasificación.
Yo he tenido la suerte de encontrar un error de seguridad en uno de sus productos y formo parte del Salón de la Fama de Google :))

Google Vulnerability Reward Program (HALL OF FAME)





Soluciones a problemas comunes de "no vulnerabilidad"::


La lista completa de programas de caza de bugs de 2019::

Recientemente, una lectora del blog me ha proporcionado información valiosa de los programas de recompensas más importantes en la actualidad(Bug Bounty): La lista completa de programas de caza de bugs de 2019.
Muchas gracias Verónica :))


Leer más