GitHub celebra el Mes de la Concienciación sobre la Ciberseguridad destacando a uno de los investigadores de seguridad más prominentes de su programa Bug Bounty, @imrerad. Con más de 100 millones de desarrolladores y 420 millones de repositorios alojados, GitHub se compromete firmemente a garantizar la seguridad y confiabilidad del código que impulsa sus actividades diarias.
El Programa de Bug Bounty de GitHub desempeña un papel crucial en el avance de la seguridad del ecosistema de software, permitiendo a los desarrolladores crear y construir con confianza en la plataforma y sus productos. GitHub cree que la base de un programa de bug bounty exitoso radica en la colaboración con investigadores de seguridad competentes.
Durante los 10 años del programa, GitHub ha pagado más de 5.5 millones de dólares en recompensas y ha fortalecido su relación con la comunidad hacker. Con la escucha activa de feedback de la comunidad, GitHub trabaja continuamente en hacer su programa más emocionante para los investigadores.
Para celebrar el Mes de la Concienciación sobre la Ciberseguridad, GitHub ha entrevistado a @imrerad, un investigador destacado especializado en inyecciones de comandos y fallos de implementación lógica. A continuación, compartimos extractos clave de esta entrevista.
@imrerad se interesó por la seguridad informática a finales de su adolescencia, reportando vulnerabilidades a empresas incluso antes de que los programas de bug bounty se volvieran populares. Su primera recompensa llegó en 2016 de Android, y desde entonces ha seguido participando en estos programas como un hobby junto a su empleo a tiempo completo.
La naturaleza adictiva de los bug bounty y la motivación de estudiar nuevas tecnologías han mantenido a @imrerad activo en este campo. Fuera del hacking, disfruta de la música y la automatización doméstica, incluyendo la reciente construcción de un sistema de riego.
Para mantenerse al día con las tendencias de vulnerabilidades, @imrerad lee informes de bug bounty de otros investigadores y revisa los changelogs de sus objetivos. Su experiencia como ingeniero de seguridad también contribuye a su metodología.
Al investigar vulnerabilidades, @imrerad prefiere los fallos lógicos únicos y aquellos que no pueden ser detectados fácilmente por herramientas comunes. En su proceso de investigación, comienza con un objetivo familiar, lista características problemáticas, y ejecuta ataques priorizados, actualizando su enfoque a medida que avanza.
A los nuevos investigadores, @imrerad recomienda hacer notas detalladas, no prejuzgar posibles ataques triviales, y encontrar el equilibrio adecuado en la inversión de tiempo en superficies de ataque prometedoras. También les anima a publicar sus hallazgos y herramientas para apoyar a la comunidad investigadora.
Para aquellos interesados en unirse a él, @imrerad sugiere conectar a través de LinkedIn, seguir sus publicaciones en Medium, o revisar sus herramientas en GitHub.
Gracias a @imrerad por participar en el foco de atención de GitHub. Cada contribución al programa Bug Bounty es una oportunidad para hacer GitHub y sus productos más seguros. Si te sientes inspirado a buscar errores, no dudes en reportar tus hallazgos a través de HackerOne.
Para aquellos interesados en ayudar a asegurar los productos y servicios de GitHub, pueden revisar las vacantes disponibles en su página de carreras.
vía: GitHub Security
