Crowdcurity lleva las pruebas de hackers colaborativas a Bitcoin

Los sitios web de Bitcoin son objetivos PRIME de los ciberataques. Ahora, una empresa llamada CrowdseguridadQuiere aplicar la sabiduría de las multitudes para aumentar su seguridad. ¿Cómo funcionará?

Protegerse contra ataques no es opcional si desea KEEP su aplicación web de Bitcoin en funcionamiento. Las aplicaciones de Bitcoin a menudo pueden almacenar cientos de monedas individuales, lo que implica pérdidas financieras significativas para sus usuarios si se ven comprometidas. Esto es especialmente cierto en el caso de las plataformas de intercambio.

Por ejemplo, el sitio de comercio de margen Bitcoinica fuedemandado por $460,000 en 2012Después de ser hackeado dos veces, el exchange estadounidense BitFloor sufrió una gran vergüenza después de...Se robaron 24.000 bitcoins Tras un ataque informático en septiembre de 2012, una cifra que representó casi diez años de comisiones por transacción. Es una pérdida difícil de recuperar. Este no es el primer caso; los problemas son aún más antiguos: Vicurex vio su billetera comprometidaen 2011. Y estos son solo ejemplos de unun conjunto mucho más grande.

Entrar en una aplicación web

No todos estos robos de Bitcoin son resultado directo de problemas en el sitio web. Algunos se deben a errores Human y otros aún no tienen explicación. Pero una cosa es segura: un código mal diseñado no ayuda y es responsable de al menos algunos de estos problemas.

¿De cuántas maneras puede una persona acceder a una aplicación web? Hay decenas, pero el Proyecto de Seguridad de Aplicaciones Web Abiertas (OWASP) las desglosa en...diez categorías ampliasLa lista se actualiza cada año y la de 2013 resulta una lectura espantosa.

¿En primer lugar? Inyección. Esto ocurre cuando alguien inyecta código T en una aplicación web, generalmente mediante un parámetro pasado a una URL. Puede usarse para ejecutar comandos no deseados, como instalar malware peligroso en una página web para infectar los equipos de los visitantes o filtrar datos de clientes, por ejemplo.

Otros posibles ataques incluyen la explotación de una configuración de seguridad deficiente (incluida la configuración de los servidores de alojamiento) y una autenticación deficiente, en la que las sesiones no se gestionan correctamente, lo que permite a los atacantes secuestrar cuentas. Otro clásico es el ataque de secuencias de comandos entre sitios, en el que se envían datos erróneos a un navegador mediante JavaScript, lo que provoca un comportamiento incorrecto. El hecho de que estos ataques sigan siendo posibles años después de su descubrimiento desprestigia a la comunidad de desarrollo de software.

El problema para muchos desarrolladores de software, tanto en el ámbito de Bitcoin como en otros, es la dificultad de detectar todos los errores. Varios sitios de Bitcoin ofrecen recompensas por errores para solucionar el problema, ofreciendo a los miembros de la comunidad más perspicaces recompensas por detectar y solucionar problemas.

Coinbase tiene ONE

Con un pago mínimo de 5 BTC y sin pago máximo. Al momento de escribir este artículo, había otorgado bitcoins a 27 personas, por un total de al menos 135 BTC. Payward, que gestiona el sitio de trading con margen Kraken, es más tacaño con su programa de recompensas, ofreciendo un mínimo de un Bitcoin por error. Otro sitio de trading de Bitcoin , 1Broker, también... ejecutó un programa.

Entra en Crowdcurity

Crowdcurity espera estandarizar el concepto de recompensas por errores externalizando el proceso. El servicio en línea conecta a las empresas que tienen software para depurar con una comunidad de unos 250 testers de software, que ha encontrado a través de foros de seguridad.

La empresa no se centra exclusivamente en Bitcoin , ya que su proceso puede aplicarse a cualquier aplicación web. Sin embargo, es un mercado importante para la empresa. «Las empresas de Bitcoin ya están muy centradas en la seguridad y saben que deben hacerlo», afirma Jacob Hansen, fundador de Crowdcurity, quien ya está negociando con al menos una gran empresa basada en Bitcoin. «Los negocios electrónicos tradicionales no siempre tienen la misma concienciación».

[cita posterior]

Los clientes pueden crear un programa de recompensas en el sitio, estableciendo reglas y montos para los programas de detección de errores. El desafío se envía a la comunidad de pruebas, que trabaja en el reporte de vulnerabilidades. El cliente valida los errores junto con Crowdcurity y los pagos se otorgan según su gravedad.

Más de la mitad de los pagos se han realizado en bitcoins para el único cliente con el que la empresa había trabajado hasta la semana pasada. "Muchos de estos pagos pueden ser de entre 25 y 50 dólares si los errores son de baja gravedad, y con bitcoins se tienen comisiones más bajas y los pagos se agilizan", afirma Hansen.

Los evaluadores del sitio pueden centrarse en un sitio de prueba o en un sitio operativo que ya esté procesando datos en tiempo real, explica Hansen. Pero los sitios no deberían depender únicamente de evaluadores externos, argumenta.

Crowdcurity es, en efecto, un servicio de pruebas de penetración, en el que un grupo de testers intenta hackear un sitio web. Pero lo que no hacen es analizar el código del sitio. En ONE sentido, esto es positivo, ya que los sitios de código cerrado no querrán que la gente se interese en su propiedad intelectual. Por otro lado, deja el análisis del código en manos de la empresa, que luego debe encontrar las habilidades necesarias para hacerlo.

Deberían realizar revisiones de seguridad de su código internamente. Además, existen muchas herramientas automáticas que pueden analizar su código y descubrir vulnerabilidades comunes. Crowdcurity utiliza herramientas comoGuardafrenosPara su propio sitio web, que busca vulnerabilidades en aplicaciones Ruby on Rails. Hay más para otros lenguajes, pero las empresas deben tener las habilidades y la disciplina necesarias para usarlas.

A medida que Bitcoin crece y las empresas obtienen mayor financiación, se espera que los desarrolladores de software estén en mejor posición para cubrir todas sus necesidades de seguridad. Y quizás veamos menos casos de desastre como Bitcoinica o Bitfloor.