Bug Bounties en SCI: Vulnerabilidades en busca y captura

Publicado el 08/10/2015, por INCIBE
Reward: Dead or Alive!

Bug bounties

Los bug bounties son programas ofrecidos por diferentes empresas enfocadas al desarrollo de software o hardware y que recompensan a investigadores externos, tras realizar pruebas de seguridad en algún servicio o producto ofertado por ellas y haber identificado algún fallo.

Los programas de recompensa nacieron en el año 1995, cuando Netscape decidió dar un enfoque diferente a las pruebas de seguridad de sus sistemas. Suelen tener definido un alcance y unas condiciones muy claras para evitar problemas a la hora de poder realizar pruebas de seguridad en sus entornos. Actualmente muchas empresas dedicadas a la tecnología, como Apple, Adobe, AT&T, Avira, Box, Cisco, Ebay, Dropbox, Evernote, Google, HTC, Huawei, Joomla, etc., tienen sus propios programas de recompensas para investigadores de seguridad.

Con respecto a las recompensas proporcionadas por las empresas, se pueden encontrar diferentes tipos:

  • Económicas: las empresas ofrecen una retribución económica a cambio de que el investigador mantenga cierto silencio con respecto a la vulnerabilidad encontrada y revele la información del problema de una forma responsable.
  • Galería de la fama: añaden el nombre del investigador a la página web de la empresa como reconocimiento a su labor de investigación.
  • Regalos: la empresa proporciona merchandising, cupones descuento o licencias de software, normalmente perteneciente todo ello a la propia empresa.

Dentro de este tipo de programas también ha de tenerse claro el hecho de que se interactúa con software o hardware de una empresa concreta, por lo que, esta misma, pondrá algunos límites para definir el alcance máximo que puede alcanzar la investigación y en caso de salirse del mismo poder interponer medios legales. Esta situación no anima mucho a algunos investigadores, que dadas las restricciones impuestas a veces por las empresas no tienen opciones de realizar la investigación o las pruebas que ellos desean.

Los Bug Bounties en entornos SCI

En lo que a programas de recompensa en sistemas de control industrial se refiere, no existen muchas empresas que ofrezcan de alguna manera un premio o reconocimiento a los investigadores que han invertido tiempo para analizar sus productos. Uno de los pocos casos existentes de bug bounties en entornos industriales lo presenta la empresa IntegraXor, la cual ofrece recompensas en forma de licencias de su producto software SCADA bajo ciertas condiciones, como era de esperar.

Similar a un programa de recompensas existe la iniciativa llamada proyecto Basecamp, organizada por Digital Bond que aunque no poseía programa de recompensa, es de interés para el sector industrial ya que se realizaron pruebas de en diferentes dispositivos, pertenecientes a diversos fabricantes, tras reunir a investigadores reputados con el fin de analizar las vulnerabilidades encontradas. Fue una de las primeras iniciativas en entornos industriales de este tipo.

Algunas de las restricciones, que suelen ser comunes a todos los programas de recompensas, impuestas por las empresas, y que también incluye la empresa IntegraXor anteriormente citada, son las siguientes:

  • Restricciones de acceso a los sistemas internos de la empresa. De esta manera se aseguran que los investigadores no acceden a equipos que contienen información sensible o que manejan un proceso vital.
  • Análisis de versiones previas. No se admiten vulnerabilidades en versiones previas a la versión actual, a no ser que la vulnerabilidad siga activa en ella. Tampoco se acepta el descubrimiento de vulnerabilidades en versiones Beta o de prueba.
  • Prohibido el uso de determinadas herramientas. Las herramientas demasiado intrusivas que pueden llegar a originar una denegación de servicio o herramientas que realicen spam no suelen estar permitidas en ningún caso.
  • Uso de librerías de terceros. No es habitual que se permita el uso de librerías pertenecientes a terceras partes, DLLs o plugins para la explotación de una vulnerabilidad.

sistema de comunicaciones centralizadas con fallos

- Recompensas en Sistemas de Control Industrial -

Los programas Bug Bounties.. ¿ventajosos para la seguridad de sistemas?

Los entornos industriales son un mundo bastante reacio tanto a la publicación de vulnerabilidades como a la liberación de código de dispositivos, lo que se traduce en que también, son poco tolerantes a la realización de pruebas en sus sistemas y dispositivos. Esta situación se produce para dar una sensación de seguridad a la ciudadania ya que un dispositivo al que no se le han encontrado vulnerabilidades se supone que es seguro. No es de extrañar que casi no existan programas que recompensen la labor de investigación de los expertos en seguridad dentro de este sector.

Los programas de recompensas también tratan de atajar los problemas que está suponiendo la venta de vulnerabilidades 0-day fuera del mercado legal por parte de los investigadores, evidentemente a cambio de grandes cantidades de dinero dependiendo de la vulnerabilidad y el uso que se le puede dar a la misma. El problema de la venta de vulnerabilidades en el mercado negro afecta tanto al mundo corporativo como al mundo industrial, y el impacto que en este último puede ser mucho mayor debido a la importancia de los sistemas.

La publicación de vulnerabilidades en los sistemas de control industrial sigue siendo un aspecto difícil de abordar. Las empresas no quieren que se conozcan los posibles fallos, pero los fabricantes tampoco atienden, en muchas ocasiones, a los investigadores, que se ven forzados a la publicación de sus investigaciones en charlas especializadas, tras no obtener respuestas a sus avisos, con el fin de forzar a los fabricantes a que tomen las medidas necesarias para solucionar los fallos. Este método de divulgación puede acabar con el investigador envuelto en problemas legales por divulgacion de secretos profesionales.

Hay que tener en cuenta que si en los sistemas de control industrial se propusiesen programas de recompensas para aquellos que realizan investigaciones, y dichas recompensas fuesen proporcionales a la dificultad del trabajo realizado, al igual que hacen otras empresas no pertenecientes a este ámbito, los dispositivos y los sistemas serían más seguros.