GitHub ha señalado que 2020 fue el año en el que más vulnerabilidades se resolvieron gracias a su programa de recompensas de errores de seguridad (“Security Bug Bounty Program”). Durante el último año, han llegado a pagar más de medio millón de dólares a los investigadores responsables de solventar algunos errores, un tercio del total de 1,5 millones de dólares que han abonado desde que existe esta iniciativa.
“2020 fue nuestro año más activo hasta el momento. Desde febrero de 2020 hasta febrero de 2021, manejamos un mayor volumen de presentaciones que cualquier año anterior. Estamos orgullosos de haber mantenido nuestro tiempo para responder primero, clasificar y pagar las presentaciones dentro de nuestros estándares agresivos a medida que el programa ha crecido,” comentan en una publicación de su blog.
El programa ya lleva 7 años en funcionamiento
El programa de recompensas fue lanzado en 2014 y le ha servido al equipo del repositorio para detectar y resolver muchos problemas relacionados con su seguridad, aunque no todos se han solucionado de esta forma. La compañía propiedad de Microsoft considera que, tras sus 7 años de existencia, su iniciativa ya se encuentra plenamente consolidada, por lo que han querido destacar algunos de los logros alcanzados gracias a ella.
Como comentan, 2020 ha sido el año “más activo” por diversas razones. En primer lugar, han otorgado recompensas por valor de 524.250 dólares como premio por divulgar y resolver 203 vulnerabilidades de seguridad en sus productos y servicios. Por otro lado, destaca la enorme cifra de participación, ya que se han realizado 1.066 presentaciones tan sólo en este periodo.
Asimismo, Github señala que, de media, los “cazarrecompensas” recibieron su pago 24 días después de haber presentado sus informes elegibles. Por último, “Security Bug Bounty Program” logró clasificarse como uno de los mejores programas en HackerOne, plataforma donde se desarrolla el proyecto desde 2016, donde los investigadores de errores han logrado obtener 1.552.004 dólares en total por su labor.
Por otro lado, GitHub presume de haberse convertido en una Autoridad de Número CVE (CNA), es decir, en un referente en la divulgación de vulnerabilidades. Según la organización, el título CNA les “permite comunicar a los clientes de forma clara y coherente los problemas que se solucionan en nuestros productos”. Además, cuando un error se hace público en la plataforma a través del programa de recompensas, se certifica quién es el responsable de descubrirlo, lo que les permite conocer mejor a los investigadores.
Los errores de seguridad más frecuentes
Los objetivos del programa incluyen varios dominios y destinos de la plataforma, como la API de GitHub, Acciones, Páginas y Gist, la herramienta para compartir fácilmente fragmentos de código. Entre las vulnerabilidades más críticas, cuya recompensa puede alcanzar los 30.000 dólares, encontramos algunas relacionadas con la ejecución de código arbitrario, ataques de inyección SQL y las tácticas de redireccionamiento malintencionadas.
Precisamente, ese último es el que la compañía considera uno de sus errores “favoritos” de 2020. Tal y como indican, una vulnerabilidad de redireccionamiento abierto no tiene por qué ser especialmente dañina para una aplicación, sin embargo, William Bowling descubrió que había una en GitHub.com que podría usarse para comprometer el flujo de OAuth de los usuarios de Gist. Gracias al hallazgo, Bowling fue recompensado con 10.000 dólares.
Normas básicas para poder participar en el programa
Para poder participar en el proceso, GitHub establece una serie de condiciones que se deben cumplir:
- Los investigadores siempre deben hacer sus pruebas en repositorios u organizaciones que les pertenezcan. Básicamente, no se permite experimentar en terrenos ajenos, ya que podría ser perjudicial el trabajo de otros usuarios.
Como indican en su sitio web, algunas acciones no están permitidas bajo ningún concepto y podrían provocar la suspensión de una cuenta:
- Llevar a cabo una denegación de servicio distribuida (DDoS). Obviamente, a nadie puede sorprenderle este punto. Este tipo de ataques pretenden inutilizar un servidor por medio del envío de múltiples solicitudes que acaban por saturarlo.
- Hacer uso de escáneres de vulnerabilidades a gran escala o herramientas que generen cantidades excesivas de tráfico de igual manera que el punto anterior.
- Utilizar la plataforma para alojar contenido de spam.
Si estás interesado, puedes ver la lista de los diez investigadores que más han contribuido en el programa de recompensas de errores de seguridad así como sus logros.