Las recompensas por herramientas que ayuden a cazar errores podrían reducir los defectos de día cero en el software.

Un programa que paga a investigadores para obtener información sobre las vulnerabilidades de software, el Internet Bug Bounty (IBB), podría ahora recompensar a aquellos que desarrollan herramientas y técnicas para detectar errores.

La idea es ampliar la gama de herramientas que las organizaciones pueden utilizar para encontrar fallos de seguridad en su software antes de que los atacantes lo hagan y vendan esa información, escribió Katie Moussouris, Directora de Política para HackerOne, uno de los patrocinadores del IBB, junto con Facebook y Microsoft.

"Al final, siempre existirá el tira y afloja entre atacantes y defensores," Moussouris escribió en una entrada de blog el martes. "El problema está en cómo estructuramos incentivos para hacer el delito más caro para los atacantes y con más ventaja para los defensores."

Hay un mercado sombrío pero próspero para las vulnerabilidades de seguridad. Se sabe que los gobiernos, incluido EE.UU., pagan grandes sumas de dinero por la información sobre fallos de seguridad que se pueden utilizar para operaciones de inteligencia.

Los investigadores independientes pueden hacer mucho más dinero vendiendo información sobre la vulnerabilidad a los compradores acaudalados en lugar de denunciarlos a las empresas. Aunque muchos, como Facebook y Google, ofrecen recompensas por información, las empresas no pueden igualar a las organizaciones patrocinadas por el Estado o a grupos de ciberdelincuentes.

Moussouris tiene previsto presentar la investigación llevada a cabo con el MIT y los investigadores de la Universidad de Harvard en la conferencia de seguridad RSA en San Francisco la próxima semana. Se hablará sobre las motivaciones detrás de la venta de vulnerabilidades de software, particularmente aquellas conocidas como de día cero.

Los días cero son considerados los problemas de software más peligrosos ya que un atacante los utuiliza activamente para comprometer los sistemas pero no hay parches disponibles.

Su estudio trata de encontrar métodos eficaces para reducir el conjunto de vulnerabilidades de día cero para la venta. Si bien los programas de recompensas de errores a cargo de las empresas han sido eficaces, "la oportunidad de venderlas a los mercados de delitos y de defensa ha aumentado", Moussouris escribió.

La mejor alterntativa para las organizaciones que tratan de defender su software es tener más herramientas para escanear su propio software.

"Ejemplos de herramientas incluyen, pero no limitan, a fuzzers, complementos compiladores y especialmente a formas para ayudar a determinar la explotabilidad de errores de manera más eficiente", escribió.