Concurso 'Capture the Coin' da CrowdCurity recompensa quem encontrar bugs com Bitcoin

A startup de segurança de TI crowdsourced CrowdCurity criou um novo programa de recompensa por bugs com um toque único.

IntituladoCapture a moeda, o programa é inspirado no conhecidocapturar a bandeirajogo e tem como objetivo recompensar pesquisadores de segurança por localizar chaves privadas de Bitcoin escondidas no front-end de plataformas web.

Curiosidade coletiva

está testando a ideia em seu próprio site para começar, e está iniciando como uma competição com Bitcoin por prêmios.

Jacob Hanson, CEO da CrowdCurity, disse ao CoinDesk:

"Achamos uma abordagem interessante para testar basicamente a segurança da nossa própria plataforma."

Como funciona

Para o concurso, a CrowdCurity criou três carteiras de papel que armazenam o Bitcoin offline. Cada uma está em quantidades diferentes, com base no valor percebido da possível intrusão de segurança que a vulnerabilidade representa.

As chaves privadas para essas carteiras, no entanto, estão escondidas no código do site, aguardando Confira — por aqueles com habilidades suficientes.

Existem três recompensas diferentes: a recompensa Nakamoto de 1,5 BTC , a recompensa Dorian de 1 BTC e a recompensa Scytale de 0,5 BTC . Além disso, cada uma tem suas próprias pistas para auxiliar os pesquisadores, que são detalhadas no blog da empresa.

Cada recompensa é para uma vulnerabilidade muito específica, tornando este um programa de recompensa por bugs bastante diferente do normal. Por exemplo, o esquema de recompensa por bugs do Google tem umgráfico que ele usa para calcular recompensas.

A CrowdCurity quer experimentar um estilo de recompensa mais competitivo com o Capture the Coin.

Disse Hansen:

"[Com Bitcoin] você pode colocar um valor monetário em vulnerabilidades. A maioria das empresas dá prêmios com base em níveis, mas Capture the Coin oferece melhor granularidade e ajustes para programas de recompensas."

Monetizando vulnerabilidades

Nas diferentes quantidades de Bitcoin , a CrowdCurity definiu um valor específico para vulnerabilidades de diferentes níveis de dureza. Por exemplo, o primeiro lugar 1.5 BTC Nakamoto Reward deve ser um que é significativamente mais difícil de quebrar, já que somente a CrowdCurity já deve saber sobre isso.

Hansen acredita que criar um mercado para vulnerabilidades usando chaves privadas para carteiras de Bitcoin pode mudar a maneira como os pesquisadores de segurança competem em programas de recompensa por bugs:

"Temos quantidades diferentes em cada uma dessas diferentes chaves privadas. As quantidades diferentes correspondem à criticidade dos bugs que a empresa realmente vê no sistema."

E se alguém encontrar a chave privada, a posse da carteira é instantânea. Não há espera para que alguém decida sobre uma recompensa como em esquemas regulares de bug bounty.

Transparência de segurança

A capacidade da cadeia de blocos de exibir publicamente todas as transações significa que, em teoria, futuros sistemas de segurança que usarem recompensas em Criptomoeda no estilo Capture the Coin poderiam oferecer mais transparência.

Hansen diz que o blockchain é "um sistema de detecção de intrusão onde podemos monitorar endereços de Bitcoin e ver se chaves privadas estão sendo usadas".

A maioria dos sistemas de detecção de intrusão em segurança de TI são passivos por natureza – projetados para esperar que um certo limite seja violado e, então, uma notificação de aviso é emitida.

Com o monitoramento de transações baseado em blockchain, um sistema mais reativo pode ser possível para mitigar rapidamente uma intrusão.

Hansen explicou:

"Ser capaz de monitorar movimentos em uma conta [ de Bitcoin] é, na verdade, um sistema muito reativo. Você pode construir uma certa cadeia de reações quando vê um certo movimento acontecer [na cadeia de blocos]."

Nunca 100% seguro

A principal estratégia de negócios da CrowdCurity tem sido o crowdsourcing de recompensas de segurança de TI para obter resultados, em vez de pagar consultores caros por tempo, o que ela vê como uma abordagem disruptiva para o setor.

Este último é um modelo que a empresa diz que muitas empresas de Bitcoin estão usando, o que representa cerca de metade da atual base de clientes da CrowdCurity.

Nenhuma empresa está completamente protegida contra ameaças de segurança e, por isso,roubos e violações de segurançaestão aumentando, métodos inovadores para ajudar a impedir intrusos são necessários.

Capture the Coin é o teste da CrowdCurity para ver como o Bitcoin pode ajudar a reforçar a segurança do front-end da web como parte de seus negócios.

"Espero que no futuro possamos fornecer isso como um serviço aos clientes", disse Hansen.

Segurança baseada em criptomoeda

Usar Criptomoeda para incentivar e tornar questões de segurança mais transparentes parece uma extensão lógica do modelo de negócios de crowdsourcing da CrowdCurity.

Chaves privadas para carteiras de Bitcoin incorporadas em sites podem acabar sendo usadas como "potes de mel" — uma tática de segurança de TI projetada para atrair possíveis ladrões, a fim de rastreá-los e pegá-los em flagrante.

E o método de rastreamento desse honey pot poderia usar o poder do livro-razão do blockchain, algo que não era possível antes.

Disse Hansen:

"Agora temos dinheiro programável. E você pode fazer esse tipo de coisa em segurança que não poderia ser feito antes."

"Você T pode fazer isso com o PayPal. Você T pode fazer isso com dinheiro comum. É muito, muito interessante", ele acrescentou.

Imagem do código Bitcoinvia Shutterstock