El origen del bug bounty
“Get a bug if you find a bug”
La newsletter “Secur0 - Bug Bounty con Ñ” surge como un homenaje a “Infosec - Ciberseguridad con Ñ”, creada por el gran Nacho García Egea.
Esta newsletter mensual nace con un objetivo claro, mantenerte informado sobre todo lo relacionado con el bug bounty. Y qué mejor manera de arrancar que conociendo sus raíces, explorando cómo nació el concepto de recompensar a los hackers éticos por encontrar vulnerabilidades.
1983, Get a bug if you find a bug
El origen de los programas de bug bounty se remonta a 1983 , cuando una startup de Silicon Valley llamada Hunter & Ready ofrecía un Volkswagen Beetle como recompensa a los investigadores que encontraran vulnerabilidades en su sistema operativo Versatile Real-Time Executive (VRTX).
1995, Netscape lanza el primer programa de bug bounty
No obstante, el primer programa de Bug Bounty moderno, tal y como lo conocemos hoy en día, no surgió hasta 1995, cuando la compañia Netscape decidió recompensar a cualquier investigador que reportara fallos sobre su navegador Netscape Navigator 2.0.
Matt Horner, Vicepresidente de marketing de Netscape, destacó en su momento: "Al recompensar a los usuarios por identificar e informarnos rápidamente de los errores, este programa fomentará una revisión amplia y abierta de Netscape Navigator 2.0 y nos ayudará a seguir creando productos de la máxima calidad."
2002, IDefense se convierte en intermediario de bug bounties
Como el modelo de bug bounty de Netscape no consiguió atraer a otros proveedores, la empresa de seguridad IDefense se convirtió en el primer intermediario de bug bounties. Su programa “vulnerability contributor program” ofrecía a los investigadores hasta 400 dólares por informarles de vulnerabilidades en software de otras empresas. IDefense actuaba entonces como intermediario entre el investigador y los vendedores de software.
2004, Mozilla Firefox bug bounty program
En 2004, Mozilla Fundation implementó su propio programa de bug bounty para su navegador Firefox, pagaban 500 dólares por vulnerabilidad tanto en la versión estable como en las versiones beta. Incentivando a los investigadores a reportar fallos antes de que afectaran a un mayor número de usuarios. Este programa fue todo un éxito debido a la gran comunidad de contribuidores open source con los que contaban. Aquí puedes encontrar el anuncio oficial de este programa.
2005 — Zero Day Initiative
La Zero Day Initiative (ZDI) se creó para fomentar el reporte de vulnerabilidades de día cero de forma privada a los proveedores afectados, recompensando económicamente a los investigadores. En la actualidad, el ZDI es el programa de bug bounty independiente de proveedores más grande del mundo. No revenden ni redistribuyen las vulnerabilidades adquiridas a través de ZDI.
2010, Google bug hunters
El bug bounty empieza a despegar con el lanzamiento del programa de bug bounty del gigante técnológico. A principios del mismo año, Google había lanzado un programa similar para el proyecto de código abierto Chromium. Debido a que fue todo un éxito, este nuevo progrma incluía toda las aplicaciones web de Google. Este programa sigue en marcha y han pagado un total de 58.760.845 dólares a 3672 hackers desde entonces, siendo el pago más grande de 605.000 dólares.
2011, Facebook whitehat program
Facebook siguió los pasos de Google y lanzó su propio programa whitehat, con la particularidad de que no había limite en la cantidad máxima pagada por una vulnerabilidad. A día de hoy el límite es de 300.000 dólares para algunas ejecuciones remotas de código (RCE). Facebook se caracteriza por organizar eventos de hacking en vivo anualmente con los mejores hackers del programa.
2012, Nace Hackerone
Hackerone fue fundada en 2012 por los expertos en seguridad Jobert Abma, Michiel Prins, Alex Rice y Merijn Terheggen. Revolucionando la manera en la que se gestionan los programas de bug bounty, facilitando a las empresas a llegar a más hackers y reduciendo la complejidad de gestión, haciendo el triaje de las vulnerabilidades y gestionando los pagos, entre otras muchas cosas.
A partir de este momento, plataformas como Bugcrowd, Intigriti, YesWeHack y Secur0 😉 surgieron, convirtiéndose en la opción más común para las empresas que tienen programas de bug bounty. Hoy en día, son pocas las compañías que optan por gestionar sus programas de bug bounty de manera independiente, ya que estas plataformas ofrecen soluciones más completas y especializadas.
Futuro del bug bounty
El futuro del bug bounty está lleno de posibilidades, con cada vez más empresas adoptando este modelo. En la edición de la newsletter del mes que viene indagaremos en como vemos el futuro del bug bounty desde Secur0. Pero antes, quiero saber como te gustaría que fuera el futuro de bug bounty.
¿Qué crees que debe mejorar en la industria del bug bounty? ¿Cómo imaginas el futuro de los programas y plataformas? Escríbeme, contestaré a todos los correos.