En mayo pasado, United Airlines, que sigue luchando para integrar su sistema informático con Continental tras la fusión de las dos compañías, emitió una convocatoria abierta para los piratas informáticos. El reto: localizar y reportar los agujeros de seguridad en su sitio web, con millas aéreas como un incentivo para que los hallazgos exitosos. El descubrimiento de un defecto scripting podría ganar 50.000 millas, mientras que una vulnerabilidad que permitía a los ataques de denegación de servicio podría anotar 250.000 millas. Dentro de dos meses, la aerolínea con sede en Chicago había desembolsó 1,8 millones de millas por varios errores, entre ellos dos llamados defectos ejecución remota de código que podría haber dejado que un hacker hacerse cargo del sistema de Estados.

La experiencia de Estados refleja una triste realidad: No importa cuántas horas sus sudores equipo digitales hacia fuera en frente de un equipo, que nunca van a encontrar y arreglar todas las vulnerabilidades. E incluso si usted paga una empresa externa para hacer el trabajo, es casi seguro que no encontrará todo bien. Pero un ejército inmenso y global de hackers que se pagan sólo cuando se desentierran los errores de seguridad? Ahora estas hablando.

Una vez que la competencia de gigantes de la tecnología como Facebook y Google, este modelo se ha generalizado. Hoy en día, cientos de empresas de acogida llamados programas bug-recompensas aplicaciones, software y redes de empresas que abarcan. Algunas compañías tienen programas sólo por invitación. Muchas pautas del programa puesto en sus sitios web, incluyendo un calendario de pagos en función de la gravedad de un defecto.

Entonces, ¿cómo abro los brazos a los hackers éticos sin perder su tiempo o - peor - la exposición de algo importante que alguien puede explotar? Unos profesionales comparten sus puntos de vista.

Comience con Auto-Escrutinio

Ansioso como podría ser la de seguir adelante con un programa público, su primer paso debe ser pruebas internas. "Si usted no tiene su casa en orden o la seguridad es terrible, los investigadores podrían pulular usted y va a ser más difícil de tamizar a través de lo que es legítimo", dice Manoj Kasichainula, jefe de seguridad de base en San Francisco Asana , Lo que hace que el software de la productividad del equipo. Y si usted está inundado con informes duplicados, ya sea que usted pasa mucho dinero extra o, si su programa es el primero en llegar, primero en ser servido, molestar a un montón de piratas informáticos.

No se preocupe un Presupuesto Pequeño

Usted no tiene que parpadear un gran desembolso para atraer a los hackers talentosos. Claro, Google ha desgranado más de $ 4 millones en los últimos cinco años. Pero las compañías de Apple a Airbnb ejecutar programas sin recompensa monetaria en absoluto, en lugar de gritar el aprecio de la azotea digital. "Creo que une a la gente es gratificante, así que siempre me preguntaré si quieren incluir su URL en LinkedIn o Twitter", dice Grant Stavely, ingeniero senior de seguridad de Evernote , Una de Redwood City, California, fabricante de aplicaciones de productividad. Para estirar el dinero del premio que tiene, establecer los parámetros de todo lo que está dispuesto a pagar. Cuando con sede en Helsinki F-Secure puesto en marcha un programa de recompensas en noviembre, que incluye la mayoría de los consumidores y productos corporativos, pero no errores en las principales páginas web de la compañía. "Nuestro sitio web es como una cara de promoción", dice el asesor de seguridad Sean Sullivan. "Es mucho más importante que nuestros productos y los clientes están seguros." Los pagos no tienen que ser enorme, tampoco. De acuerdo con el especialista en seguridad Bugcrowd, el pago promedio de los programas de más de 300 que ayuda a administrar es de $ 250 o menos.

Piense A través del flujo de trabajo

Cuando los piratas informáticos detectar un error, ¿a dónde van esos correos electrónicos? ¿Quién revisa los informes para determinar si el error es de fiar? "Se necesita gente con buen juicio en la primera línea, porque si tienes a alguien que malinterpreta los informes, todo el mundo se pone muy frustrado muy rápido", dice Kasichainula. No hay manera de predecir el ritmo de presentaciones, pero incluso cuando su equipo se inunda, reconocen con prontitud los informes de error cuando usted los consigue. Si usted parece poco atento a la seguridad del usuario, se arriesga a un investigador de revelar el error públicamente, mientras que usted todavía está clasificando cómo parchar ella.

Do not Go It Alone si usted no quiere a

Si la idea de coordinar un pago internacional que un hacker se siente un poco cargada, no el miedo. Startups incluidos HackerOne y Bugcrowd puede ayudar a que su programa en funcionamiento e incluso gestionar los pagos. "Hay una curva de aprendizaje para la ejecución de estos programas, y cuando usted está empezando a cabo ustedes podrían ser lo suficientemente ocupado con el programa de desarrollo", advierte Sullivan. Pero llamar a los pros no significa la externalización de todo el esfuerzo. Usted puede ser mejor examinar los informes de vulnerabilidad en el local. Dejando al intermediario cuando usted está trabajando en su propio código tiende a significar menos errores y correcciones más rápidas.

Bug Bounty Ballers

Empresas con mucho en juego en su seguridad de datos han ponied algunos premios importantes.

$ 15,000-- Inicialmente interrumpido para adjudicar botín empresa como recompensas (aka T-shirtgate ), Yahoo dio Ibrahim Raafat de Egipto su máxima recompensa en 2014 para detectar un error en la aplicación de impresión de fotos de Flickr que dejó su servidor y base de datos vulnerables.

$ 33.500 --En 2013, Facebook pagó brasileño Reginaldo Silva uno de sus más grandes recompensas por denunciar un error que podría permitir que un usuario secuestrar la computadora de otra persona .

$ 100.000 --Microsoft Otorgó por primera vez un seis cifras recompensa en 2013 para sede en Reino Unido James Forshaw por informar de un error que trabajó en torno a las protecciones de seguridad en Windows 8.1.

$ 150.000 --Cuando Nueva Jersey levantó-George Hotz hackeó el sistema operativo de Google Chrome en 2014, Google le dio su mayor recompensa individual a date-- y un trabajo .

Un millón de millas --last Julio, United Airlines dio investigador Florida Jordan Wiens no Moolah, pero MegaMiles para encontrar un error que podría ayudar a alguien a hacerse cargo de un equipo remoto.

Pssst! Este Bounty Es Invitar Sólo

Antes de llevar a todos los interesados, es posible que desee tomar una prueba.

Para todos los programas bug-recompensa que tiene una página web detallada de todos a leer, hay por lo menos un programa privado que casi nadie conoce. "No es una talla única para todos", dice Alex Rice, CTO y co-fundador de HackerOne y el ex jefe de seguridad de producto en Facebook. HackerOne - que a finales de 2015 había coordinado unos 2.000 piratas que hicieron más de 15.000 correcciones de errores de más de $ 5 millones en premios - corre 100 programas bug-recompensas pública y más de 400 las privadas. Así que, ¿cómo saber si privado es el camino a seguir?

Aunque la contratación de un montón de globos oculares puede significar más variada y creativa piratería, si usted está tomando su primer baño en el estanque bug-recompensas, Rice recomienda comenzar con una invitación de sólo piloto , Que consiste en pedir a un número limitado de investigadores de hackear sus corazones en busca de vulnerabilidades específicas. "Si invitas a cinco investigadores y encontrará docenas de errores en las primeras 24 horas, es probable que no quiere salir a bolsa", dice Rice. "Pero cuando se llega a un punto en el que el ritmo se ha ralentizado y lo abre a todo el Internet, usted tendrá mucha confianza."