Recompensar a los hackers
para el beneficio del mundo de los negocios
¿Cuál es el valor actual de un ataque de navegador? En el desafío anual Pwn2Own, realizado a comienzos de marzo de este año, el equipo ganador se llevó $60,000, el mayor premio hasta la fecha.
Según los organizadores, las reglas de Pwn2Own -auspiciado por Iniciativa de día cero (ZDI), una organización administrada por HP DVLabs- se cambiaron este año para reflejar mejor el valor y el costo de las vulnerabilidades de seguridad inherentes al software de los navegadores. Antes, el concurso brindaba ocho o más blancos. Este año hubo sólo cuatro, que representaron a las plataformas de navegación más comunes: Microsoft Internet Explorer, Apple Safari, Google Chrome y Mozilla Firefox. Al haber menos blancos, los premios individuales fueron mucho más atractivos.
Pwn2Own y concursos similares son un divertimento relacionado con las acciones de los hackers, pero también tienen cada vez más importancia en el ámbito de la seguridad en línea. El crecimiento de su notoriedad y sus premios demuestra que se trata de algo serio.
¿Por qué Pwn2Own?
¿Por qué alguien querría ocuparse de organizar un concurso para que un grupo de hackers ataque las plataformas de navegación más populares del mundo?
"La intención siempre es marcar los riesgos de seguridad inherentes al software más usado, y a su vez alentar a los investigadores de seguridad a revelar de manera responsable los puntos vulnerables que descubren", afirma Jennifer Lake, representante de marketing de productos de HP DVLabs.
Este desafío representa beneficios tanto para los hackers como para los proveedores de software. Los hackers ganan un premio y reconocimiento público de sus habilidades. Los proveedores ponen a prueba la seguridad de sus productos ante algunos de los mejores hackers del mundo.
¿Por qué publicitar los puntos vulnerables de los navegadores?
"Es imposible para los proveedores crear software o aplicaciones sin puntos vulnerables", dice Lake. "Año tras año, en Pwn2Own sale a la luz que hasta las aplicaciones totalmente actualizadas son vulnerables a fallas de día cero. Al fomentar la divulgación responsable de estas fallas en el concurso, podemos acelerar el proceso de corrección y ayudar a los proveedores a comprender mejor cómo prevenir esos errores de programación en el futuro."
Los tipos de ataques concretos empleados para aprovecharse de los puntos vulnerables no se divulgan al público. Se entregan a los proveedores de software para que puedan solucionar el problema.
"Concursos como éste ayudan a los proveedores de seguridad a brindar productos más seguros a los clientes, por lo que básicamente todos salen ganando", agrega Lake.
Tipos de ataques
Las vulnerabilidades de día cero recibieron la mayor atención en Pwn2Own, pero el concurso estuvo dividido en dos tipos de ataques: aquellos a un punto vulnerable hasta entonces desconocido (de día cero) y aquellos a una parte del software que ya tenía parche.
El primero pone a prueba el código original, mientras que el segundo pone a prueba el parche. Esto ofrece una minuciosa prueba de seguridad para los desarrolladores de software y un buen desafío para los hackers.
Hackear: mitad pasatiempo, mitad destreza sofisticada
Los hackers no son toda maldad. Ni buenos ni malos. Todos los hackers dicen que todo pasa por el desafío de mostrar su destreza. Concursos como Pwn2Own aprovechan esta subcultura de programadores al ofrecer una plataforma más pública donde demostrar esta destreza, a la vez que se identifican puntos vulnerables para el bien común.
"Pwn2Own tiene éxito por el mismo motivo que ZDI tiene éxito", comenta Lake. "Nuestros investigadores buscan puntos vulnerables en su trabajo o pasatiempo diario."
Los programas de divulgación de vulnerabilidades, como ZDI, simplemente permiten a los investigadores y aficionados enviar sus descubrimientos y a su vez ser reconocidos por su destreza y contribución a la seguridad de un producto en particular. Nada malo para agregar al currículum.
¿Cuál es el valor actual de un ataque de navegador? En el desafío anual Pwn2Own, realizado a comienzos de marzo de este año, el equipo ganador se llevó $60,000, el mayor premio hasta la fecha.
Según los organizadores, las reglas de Pwn2Own -auspiciado por Iniciativa de día cero (ZDI), una organización administrada por HP DVLabs- se cambiaron este año para reflejar mejor el valor y el costo de las vulnerabilidades de seguridad inherentes al software de los navegadores. Antes, el concurso brindaba ocho o más blancos. Este año hubo sólo cuatro, que representaron a las plataformas de navegación más comunes: Microsoft Internet Explorer, Apple Safari, Google Chrome y Mozilla Firefox. Al haber menos blancos, los premios individuales fueron mucho más atractivos.
Pwn2Own y concursos similares son un divertimento relacionado con las acciones de los hackers, pero también tienen cada vez más importancia en el ámbito de la seguridad en línea. El crecimiento de su notoriedad y sus premios demuestra que se trata de algo serio.
¿Por qué Pwn2Own?
¿Por qué alguien querría ocuparse de organizar un concurso para que un grupo de hackers ataque las plataformas de navegación más populares del mundo?
"La intención siempre es marcar los riesgos de seguridad inherentes al software más usado, y a su vez alentar a los investigadores de seguridad a revelar de manera responsable los puntos vulnerables que descubren", afirma Jennifer Lake, representante de marketing de productos de HP DVLabs.
Este desafío representa beneficios tanto para los hackers como para los proveedores de software. Los hackers ganan un premio y reconocimiento público de sus habilidades. Los proveedores ponen a prueba la seguridad de sus productos ante algunos de los mejores hackers del mundo.
¿Por qué publicitar los puntos vulnerables de los navegadores?
"Es imposible para los proveedores crear software o aplicaciones sin puntos vulnerables", dice Lake. "Año tras año, en Pwn2Own sale a la luz que hasta las aplicaciones totalmente actualizadas son vulnerables a fallas de día cero. Al fomentar la divulgación responsable de estas fallas en el concurso, podemos acelerar el proceso de corrección y ayudar a los proveedores a comprender mejor cómo prevenir esos errores de programación en el futuro."
Los tipos de ataques concretos empleados para aprovecharse de los puntos vulnerables no se divulgan al público. Se entregan a los proveedores de software para que puedan solucionar el problema.
"Concursos como éste ayudan a los proveedores de seguridad a brindar productos más seguros a los clientes, por lo que básicamente todos salen ganando", agrega Lake.
Tipos de ataques
Las vulnerabilidades de día cero recibieron la mayor atención en Pwn2Own, pero el concurso estuvo dividido en dos tipos de ataques: aquellos a un punto vulnerable hasta entonces desconocido (de día cero) y aquellos a una parte del software que ya tenía parche.
El primero pone a prueba el código original, mientras que el segundo pone a prueba el parche. Esto ofrece una minuciosa prueba de seguridad para los desarrolladores de software y un buen desafío para los hackers.
Hackear: mitad pasatiempo, mitad destreza sofisticada
Los hackers no son toda maldad. Ni buenos ni malos. Todos los hackers dicen que todo pasa por el desafío de mostrar su destreza. Concursos como Pwn2Own aprovechan esta subcultura de programadores al ofrecer una plataforma más pública donde demostrar esta destreza, a la vez que se identifican puntos vulnerables para el bien común.
"Pwn2Own tiene éxito por el mismo motivo que ZDI tiene éxito", comenta Lake. "Nuestros investigadores buscan puntos vulnerables en su trabajo o pasatiempo diario."
Los programas de divulgación de vulnerabilidades, como ZDI, simplemente permiten a los investigadores y aficionados enviar sus descubrimientos y a su vez ser reconocidos por su destreza y contribución a la seguridad de un producto en particular. Nada malo para agregar al currículum.
¿Cómo
contribuye Pwn2Own al mundo de los negocios?
El juego del gato y el ratón entre los desarrolladores de software y los hackers malintencionados probablemente continúe en el futuro cercano. Pero concursos como Pwn2Own exponen el problema y a su vez ayudan a resolver fallas. El beneficio para las empresa es que pueden tener más confianza en los productos presentes en sus entornos.
"En ZDI, ofrecemos [a los investigadores] un medio para comunicar las vulnerabilidades al proveedor y lograr que se resuelvan. Nuestros investigadores reciben una compensación económica mediante el programa y también ganan reconocimiento público del proveedor por sus esfuerzos", explica Lake.
El juego del gato y el ratón entre los desarrolladores de software y los hackers malintencionados probablemente continúe en el futuro cercano. Pero concursos como Pwn2Own exponen el problema y a su vez ayudan a resolver fallas. El beneficio para las empresa es que pueden tener más confianza en los productos presentes en sus entornos.
"En ZDI, ofrecemos [a los investigadores] un medio para comunicar las vulnerabilidades al proveedor y lograr que se resuelvan. Nuestros investigadores reciben una compensación económica mediante el programa y también ganan reconocimiento público del proveedor por sus esfuerzos", explica Lake.
Mientras el mundo de la seguridad siga evolucionando, podemos esperar que los concursos como Pwn2Own también lo hagan. Esperemos que se mantenga el equilibrio en el "imperio" por así decirlo.
No hay comentarios:
Publicar un comentario