Bug Bounty: ¡Ayúdenos a fortalecer nuestra seguridad!

El programa de búsqueda de fallas de seguridad en las infraestructuras de OVH, ya está al alcance de todos en la plataforma bountyfactory.io. El objetivo: continuar mejorando la seguridad de los servicios que ofrece el grande del cloud.

El Bug Bounty de OVH permite a las personas interesadas en la seguridad informática señalar cualquier falla potencial en las infraestructuras del manager y la API. Este programa, probado internamente en la compañía, ya está disponible en la plataforma bountyfactory.io. La idea es simple: los equipos de seguridad de OVH analizan las fallas señaladas, y toman las medidas necesarias en cada caso. Los señalamientos asociados a fallas comprobadas conllevarán a una recompensa material, monetaria en algunos casos.

"Los señalamientos asociados a fallas comprobadas conllevarán a una recompensa material, monetaria en algunos casos."

La seguridad, una prioridad de OVH

Desde su creación, hace 17 años, el grupo OVH siempre ha considerado la seguridad informática como una prioridad, y el señalamiento de fallas ya era posible desde entonces a través de la dirección security@ovh.com, y algunas de estas fallas eran corregidas. Para Vincent Malguy, miembro del centro de operaciones de seguridad, el lanzamiento público de Bug Bounty es el resultado de muchos años de reflexión. La aparición de la plataforma bountyfactory.io ha hecho posible la realización de un proyecto de Octave Klaba.”

Hasta el momento, todas las plataformas Bug Bounty han sido norteamericanas. Para una compañía como OVH, comprometida con la autonomía de los datos, era inimaginable almacenar la lista de fallas fuera de los centros de datos de Francia. La plataforma que permite a OVH llevar a cabo este programa, está alojada internamente en el cloud dedicado, una infraestructura avalada desde hace varios años por la certificación ISO 27001.

La plataforma está disponible para todos, desde los especialistas en seguridad informática hasta los simples apasionados de la tecnología. Basta con crear una cuenta y señalar cualquier falla detectada en la seguridad. Inmediatamente, los miembros del equipo de seguridad de OVH recibirán la notificación y tomarán las medidas pertinentes para corregir dicha falla. Es evidente que la rapidez de reacción por parte del equipo de OVH es punto clave en el éxito del programa. Como ventaja adicional del funcionamiento de esta estrategia, los white hats serán recompensados (una semana como máximo), luego de la comprobación y corrección de la falla. Esta última condición garantiza la transparencia de la comunidad de white hats, sin cuya participación el programa carecería de valor. En este sentido, además de contribuir a una comunicación más fluida entre OVH y sus clientes, la plataforma bountyfactory.io permite a OVH llevar a cabo una gestión transparente de cualquier señalamiento asociado a la seguridad de su infraestructura.

"El Bug Bounty fortalece nuestro arsenal de seguridad"

La apertura al público del programa de búsqueda de fallas viene a completar una serie de medidas tomadas por el líder europeo del cloud con el objetivo de garantizar la seguridad de su infraestructura y por consiguiente la de los datos de sus clientes. De igual manera, OVH efectúa numerosas pruebas internas y externas de intrusión a lo largo de cada año, con el objetivo de asegurar el cumplimiento de las exigencias más altas por parte de los sistemas críticos. Para cubrir el espectro en su totalidad, y minimizar la vulnerabilidad de la seguridad informática, se decidió estandarizar el procedimiento asociado a los señalamientos públicos de fallas: "Con Bug Bounty, podemos efectuar pruebas en nuestras infraestructuras constantemente, con diversos perfiles y habilidades. Nunca habríamos podido cubrir un espectro tan amplio en tan largos períodos de tiempo mediante la auditoría tradicional", expresa Vincent Malguy.

Avalados por las normas ISO 27001 e ISO 27017, PCI-DSS, SOC 1 y SOC 2 de tipo II para Dedicated Cloud, los procesos de seguridad de OVH están a punto de obtener una certificación que acredita el alojamiento de datos asociados a la salud. El conjunto de herramientas y certificaciones a disposición de los clientes, permite al grande del cloud ganar la confianza de los mismos, que a diario ponen en nuestras manos sus datos confidenciales.

¡SE BUSCAN EXPERTOS EN API!

Por el momento, Bug Bounty solo se ocupa de las fallas asociadas al panel de control y la API de los clientes de OVH. Próximamente cubrirá otros productos y servicios.
Según el equipo de seguridad de OVH, es importante que los participantes en el programa Bug Bounty conozcan a cabalidad los principios de nuestra API, con el fin de realizar una búsqueda efectiva de fallas en la seguridad de la infraestructura: "Pearl es el lenguaje de programación principal utilizado, con microllamadasa la API escritas en Python", explica Vincent, antes de reiterar que los datos son todos alojados en bases PostgreSQL y MySQL. Las operaciones que gestionan la configuración de recursos son efectuadas por robots, es decir, que las tareas son desplegadas por procesos asíncronos. En función de los productos, los protocolos de comunicación, así como las acciones empresariales, pueden variar desde la ejecución de un script bash hasta la llamada de un powershell. El sistema operativo más utilizado internamente en OVH es Debian y la mayor parte de los equipos emplean la protección del núcleo grsecurity.

"Un solo señalamiento que demuestre la ejecución del código en uno de nuestros servidores puede lograr una recompensa, mientras que harían falta 200 fallas XSS para llegar al mismo resultado…"

"A pesar de que la oscuridad no fue elegida como mecanismo de defensa, sería difícil dar información sin revelar detalles que expongan nuestra infraestructura, explica Vincent. “Puedo añadir que contamos con un arsenal impresionante de herramientas de detección de vulnerabilidad, el cual empleamos con regularidad. A aquellas personas que deseen también emplearlo, les recordamos que ya hemos realizado pruebas, de modo que sería más productivo concentrarse en el control de calidad que en la cacería de tesoros. Un solo señalamiento que demuestre la ejecución del código en uno de nuestros servidores puede lograr una recompensa, mientras que harían falta 200 fallas XSS para llegar al mismo resultado…”

Artículo siguiente

OVH: segunda quincena de junio
Mi cuenta de clienteContact SalesWebmail OVHcloud Blog

¡Bienvenido/a a OVHcloud!

Identifíquese para contratar una solución, gestionar sus productos y servicios, y consultar sus pedidos

Conectar