Le concours « Capture the Coin » de CrowdCurity récompense les chercheurs de bugs avec des Bitcoin

La startup de sécurité informatique participative CrowdCurity a créé un nouveau programme de primes aux bugs avec une touche unique.

IntituléCapturer la pièce, le programme s'inspire du célèbrecapturer le drapeaujeu, et vise à récompenser les chercheurs en sécurité pour avoir localisé des clés Bitcoin privées cachées dans le front-end des plateformes Web.

CrowdCurity

teste l'idée sur son propre site Web pour commencer et la lance sous forme de concours avec des Bitcoin pour les prix.

Jacob Hanson, PDG de CrowdCurity, a déclaré à CoinDesk:

« Nous trouvons que c'est une approche intéressante pour tester la sécurité de notre propre plateforme. »

Comment ça marche

Pour le concours, CrowdCurity a créé trois portefeuilles papier stockant les Bitcoin hors ligne. Chacun possède un montant différent, basé sur la valeur perçue de l'intrusion potentielle que représente la vulnérabilité.

Les clés privées de ces portefeuilles sont cependant cachées dans le code de leur site Web, en attendant À découvrir – pour ceux qui ont les compétences suffisantes.

Il existe trois récompenses différentes : la récompense Nakamoto de 1,5 BTC , la récompense Dorian de 1 BTC et la récompense Scytale de 0,5 BTC . De plus, chacune a ses propres indices pour aider les chercheurs, qui sont détaillés sur le blog de l'entreprise.

Chaque récompense est destinée à une vulnérabilité très spécifique, ce qui en fait un programme de primes aux bugs assez différent de la normale. Par exemple, le système de récompenses aux bugs de Google a untableau utilisé pour calculer les récompenses.

CrowdCurity souhaite expérimenter un style de récompense plus compétitif avec Capture the Coin.

Hansen a déclaré :

« [Avec Bitcoin], vous pouvez attribuer une valeur monétaire aux vulnérabilités. La plupart des entreprises offrent des prix en fonction des niveaux, mais Capture the Coin offre une meilleure granularité et des ajustements pour les programmes de récompense. »

Monétiser les vulnérabilités

CrowdCurity a défini une valeur spécifique pour les vulnérabilités de différents niveaux de difficulté, compte tenu des différents montants en Bitcoin . Par exemple, la récompense Nakamoto de 1,5 BTC devrait ONE beaucoup plus difficile à obtenir, car seule CrowdCurity devrait déjà la connaître.

Hansen estime que la création d'un marché pour les vulnérabilités en utilisant des clés privées pour les portefeuilles Bitcoin pourrait changer la façon dont les chercheurs en sécurité rivalisent dans les programmes de primes aux bugs :

« Nous avons des montants différents dans chacune de ces clés privées. Ces montants correspondent à la gravité des bugs que l'entreprise détecte réellement dans le système. »

Et si quelqu'un trouve la clé privée, la possession du portefeuille est instantanée. Il n'y a pas d'attente pour que quelqu'un décide de la récompense, comme dans les programmes classiques de bug bounty.

Transparence en matière de sécurité

La capacité de la blockchain à afficher publiquement toutes les transactions signifie qu'en théorie, les futurs systèmes de sécurité utilisant des récompenses de Cryptomonnaie de type Capture the Coin pourraient offrir plus de transparence.

Hansen dit que la blockchain est « un système de détection d'intrusion où nous pouvons surveiller les adresses Bitcoin et voir si des clés privées sont utilisées ».

La plupart des systèmes de détection d’intrusion en matière de sécurité informatique sont de nature passive : ils sont conçus pour attendre qu’un certain seuil soit violé, puis une notification d’avertissement est émise.

Avec la surveillance des transactions basée sur la chaîne de blocs, un système plus réactif pourrait être possible pour atténuer rapidement une intrusion.

Hansen a expliqué :

« Pouvoir surveiller les mouvements d'un compte [ Bitcoin] est en réalité un système très réactif. On peut créer une chaîne de réactions lorsqu'on observe un mouvement précis [sur la blockchain]. »

Jamais sûr à 100 %

La principale stratégie commerciale de CrowdCurity a consisté à externaliser les récompenses en matière de sécurité informatique pour obtenir des résultats, au lieu de payer des consultants coûteux en fonction du temps, ce qu'elle considère comme une approche industrielle disruptive.

Ce dernier est un modèle que, selon la société, de nombreuses sociétés Bitcoin utilisent, qui représentent environ la moitié de la clientèle actuelle de CrowdCurity.

Aucune entreprise n’est jamais complètement protégée contre les menaces de sécurité, et parce quevols et failles de sécuritésont en hausse, des méthodes innovantes pour aider à contrecarrer les intrus sont nécessaires.

Capture the Coin est le test de CrowdCurity pour voir comment Bitcoin peut aider à renforcer la sécurité Web frontale dans le cadre de son activité.

« Nous espérons qu’à l’avenir, nous pourrons proposer ce service à nos clients », a déclaré Hansen.

Sécurité basée sur la cryptomonnaie

L'utilisation de la Cryptomonnaie pour inciter et rendre les problèmes de sécurité plus transparents semble être une extension logique du modèle commercial de crowdsourcing de CrowdCurity.

Les clés privées des portefeuilles Bitcoin intégrées aux sites Web pourraient finir par être utilisées comme des « pots de miel » – une tactique de sécurité informatique conçue pour attirer les voleurs potentiels afin de les traquer et de les prendre sur le fait.

Et la méthode de suivi de ce pot de miel pourrait utiliser la puissance du registre de la chaîne de blocs, ce qui n'était pas possible auparavant.

Hansen a déclaré :

« Nous disposons désormais d'une monnaie programmable. Et il est possible de réaliser des choses en matière de sécurité qui étaient auparavant impossibles. »

« On ne peut T faire ça avec PayPal. On ne peut T faire ça avec de l'argent ordinaire. C'est très, très intéressant », a-t-il ajouté.

Image du code Bitcoinvia Shutterstock