Cuando la Secretaría de Defensa de Estados Unidos (DoD) anunció en noviembre pasado un sistema de recompensas para quienes detectaran vulnerabilidades en los distintos sitios web del ejército de ese país, sólo tomaría cinco minutos recibir el primer informe. Durante el mes siguiente, el DoD recibió 416 aportes, relacionados con 120 vulnerabilidades distintas.
Diario TI 03/07/17 3:10:14
Una de las vulnerabilidades más graves fue revelada por un usuario que después de haberse conectado a un sitio web públicamente disponible, logró acceder a un sitio de uso interno de la Defensa, para el que se requería acreditación especial.
Si bien es cierto numerosas vulnerabilidades pueden ser detectadas con herramientas automáticas que utilizan técnicas como por ejemplo fuzzing, en la mayoría de los casos se comprueba que la intervención humana es totalmente decisiva. Por lo tanto, para detectar las vulnerabilidades antes que éstas sean explotadas por intrusos, es necesario disponer de los mismos conocimientos obtenidos por los hackers “black hat”.
El DoD no es la primera organización, gubernamental o privada, en ofrecer una recompensa a quienes detecten vulnerabilidades en sus sistemas. Google tiene su propia iniciativa, denominada Project Zero, mediante la cual detecta vulnerabilidades en los sistemas online o software de terceros, a quienes da un plazo de 90 días para solucionarlos, antes de darlos a conocer a la opinión pública. Project Zero ha causado molestia en Microsoft, que acusó a Google de usar Project Zero “para jactarse”. La respuesta de Google fue revelar una nueva vulnerabilidad de Windows.
LEER MAS: https://diarioti.com/organizaciones-privadas-y-estatales-optan-por-la-seguridad-habilitada-por-hackers/104817