¿Cómo atraer hackers?

Navega tus respuestas
7

Estoy contribuyendo a un proyecto de código abierto y configuramos un banco de pruebas para las pruebas de seguridad. Queremos comenzar un desafío para encontrar fallas de seguridad y mi pregunta es: ¿cómo atraemos a los hackers para que participen?

¿Cómo se diseñará el desafío (a excepción de una página web que explica el por qué y cómo)?

Hay un presupuesto muy limitado (~ 1000 $) y podríamos hacer camisetas y amp; algo de botín, pero no hay espacio para pagar las recompensas.

Edit1: Lo que queremos / necesitamos es la retroalimentación de todos los que encontraron una falla, no solo las personas que ponen sus herramientas en las aplicaciones web.

    
pregunta that guy from over there 23.08.2013 - 07:34
fuente

2 respuestas

8

Hay varias maneras de hacerlo:

Primero, las recompensas monetarias son un gran incentivo, pero si no puedes pagarlas, deberás proporcionarles otros tipos de recompensas. Creo que crear una página especial en su sitio / aplicación y crear una lista de personas que han encontrado vulnerabilidades en el "salón de la fama".

También recomendaría que consideres ejecutar una competencia de CTF e incluir secciones de la funcionalidad de tu aplicación en el CTF (o simplemente hacer el CTF sobre quién puede encontrar más agujeros en tu aplicación real). Cuando tenga una lista de ganadores, publíquelos públicamente y manténgalos actualizados para que la gente pueda consultarlos más adelante.

Si decide hacer cualquiera de las opciones anteriores, asegúrese de publicarlo y detallar sus intenciones / resultados deseados, como sugiere Evan, publicarlo en una lista de correo de seguridad podría ayudar a atraer la atención.

Pero como dice Terry, si lo construyes, al final, alguien vendrá y tratará de romperlo de todas formas, sin importar lo que ocurra.

    
respondido por el NULLZ 23.08.2013 - 08:16
fuente
1

Bruce Schneier dijo una vez acerca de que los ciudadanos informen sobre actividades sospechosas: "si confía en investigadores aficionados, no se sorprenda cuando obtenga seguridad para aficionados". Entonces, o la seguridad es importante en tu proyecto, o no lo es.

Hay algunas cosas que puede hacer para al menos buscar ayuda profesional. Utilice herramientas profesionales de análisis de código estático para revisar su código base. Coverity ofrece escaneo gratuito de proyectos de código abierto, así que úsalos. Encuentre un capítulo local de OWASP y vea si tienen miembros dispuestos a donar tiempo. Verifique con una universidad o escuela con la que su equipo de proyecto pueda tener una afiliación, ya que pueden tener una clase de seguridad interesada en el desafío.

Un desafío público sin incentivos no producirá un nivel realista de confianza en la seguridad de su proyecto. Si su proyecto es valioso, le debe a sus futuros clientes que lo tomen en serio ahora.

    
respondido por el John Deters 26.08.2013 - 05:29
fuente

Lea otras preguntas en las etiquetas

¿Qué es un buen algoritmo para memorizar una contraseña en unos minutos? ¿Las claves privadas de SSH siempre contienen suficiente información para obtener una clave pública?