Después de ejecutar nuestro programa privado de recompensas de seguridad para pruebas finalmente estamos listos para abrir el programa a todos.
Abrir el programa Bugcrowd al público tiene el potencial de poner más de 100.000 ojos en la base de códigos del ARK Core. Haciendo que nuestro programa de recompensas GitHub, que ya está en marcha, sea aún más fuerte.
La plataforma Bugcrowd ha demostrado su eficacia una y otra vez ayudando a empresas como Netflix, Binanace, Netgear, Motorola, Digital Ocean, Tesla y muchas más.
La información pública del programa Bugcrowd de ARK está disponible
en: https: //bugcrowd.com/arkecosystem
Durante la fase de prueba privada del programa de recompensas, se reportaron cuatro vulnerabilidades de seguridad. Dos de ellos estaban relacionados con nuestra antigua API v1 obsoleta y dos de ellos informaron posibles ataques de denegación de servicio a través de los siguientes puntos finales:
- https://IP:PORT/api/v2/delegates/REPLACE_HERE/blocks?page=250&limit=1
- https://IP:PORT/api/v2/wallets/top?page=0&limit=REPLACE_HERE
En ambos casos, el parámetro límite podría ser anulado, lo que provocaría que el servidor realice un trabajo adicional, introduciendo así un posible ataque de denegación de servicio. Ambos puntos finales se cerraron y arreglaron durante las actualizaciones de v2.0.x.
¿Cómo participar?
La información pública del programa Bugcrowd de ARK está disponible
en: https: //bugcrowd.com/arkecosystem
Invitamos a todos los investigadores de seguridad y probadores de penetración a que comprueben nuestro depósito de Vulnerabilidades de Seguridad (https://github.com/ArkEcosystem/security-vulnerabilities) , donde puede aprender sobre problemas recientes y utilizarlo como punto de partida para obtener algunas ideas y crear nuevas estrategias de pruebas.
Para empezar a probar puede leer en nuestro Core y utilizar nuestra Red de Desarrollo, que como su nombre indica es un campo de pruebas y desarrollo en el que jugar.
Algunos links importantes que deberías revisar:
- Understanding transaction life-cycle from client to
blockchain - How does Core work and its mechanics
- API Documentation
- SDK’s to interact with ARK
- Setting up your own relay node
- Setting up ARK Core with Docker(additional blog
post) - How to deploy your own ARK-based network with Deployer
- Development Network Explorer
- List of known and patched security vulnerabilities
Si desea obtener tokens de Development Network ARK (DARK) para cualquier prueba, por favor, únase a nuestro Slack(https://ark.io/slack) y solicítelos en el canal #devnet.
Cómo funciona
Un investigador de seguridad descubre y presenta un hallazgo a Bugcrowd. La presentación es revisada, probada, reproducida y una vez validada, es rápidamente transmitido al equipo de ARK. A su vez, revisamos/probamos la vulnerabilidad y parcheamos el hallazgo (si procede).
Los hallazgos que pueden ser críticos son enviados a nuestro equipo en menos de 24 horas. Podemos conversar directamente con los investigadores para obtener o solicitar información adicional, incluyendo el acceso a todas las conversaciones entre los investigadores de seguridad y Bugcrowd. Como resultado, los errores críticos se corrigen y parchean mucho antes que los menos graves.
Taxonomía de clasificación de vulnerabilidad
ARK está usando VRT de Bugcrowd, un recurso que describe la clasificación de prioridad de base de Bugcrowd. Se incluyen ciertos casos de bordes para las vulnerabilidades que se ven con frecuencia. Para llegar a una clasificación, Bugcrowd's los ingenieros de seguridad comienzan con estándares de impacto generalmente aceptados en la industria y Considerar además la tasa media de aceptación, la prioridad media y, por lo general exclusiones específicas del programa solicitadas (basadas en casos de uso comercial) en todos los casos. de los programas de Bugcrowd.
El VRT de Bugcrowd es un recurso inestimable para los cazadores de errores, ya que esboza que los tipos de problemas que normalmente son vistos y aceptados por los programas de recompensas de errores. Esperamos que la transparencia sobre el nivel de prioridad típico para los distintos tipos de errores ayude a los participantes del programa a ahorrar un valioso tiempo y esfuerzo en su búsqueda para hacer que los objetivos de recompensa sean más seguros. El VRT también puede ayudar a los investigadores a identificar qué tipos de errores de alto valor se han pasado por alto y cuándo deben proporcionar información sobre la explotación (información POC) en un informe en el que podría tener un impacto en la prioridad.
¿Por qué Crowd Sourced Security?
En ocasiones, existe una desconexión entre las motivaciones de los atacantes de red y las de los desarrolladores y defensores de la seguridad. La seguridad de fuentes múltiples ayuda a aliviar este desequilibrio al aprovechar a los investigadores de seguridad de White Hat para encontrar y eliminar vulnerabilidades, proporcionando resultados rápidos y enfocados. Se examinan las superficies de ataque más críticas, incluidas las interfaces web y API en las plataformas de servidor /cloud, móviles e IoT. Los investigadores de seguridad son de confianza y altamente examinados, lo que difunde las preocupaciones sobre el riesgo asociado con la seguridad de origen público.
Si bien el equipo de ARK y la comunidad conocen bastante bien el plano de su nave, a menudo son los ojos de los examinadores externos quienes pueden brindar una nueva perspectiva desde un ángulo diferente.
El aumento masivo de la eficiencia de las pruebas de la fuente de la multitud permitirá a ARK llegar a un grupo más amplio de personas con un gran interés en la seguridad cibernética. En algunos casos, lleva mucho menos tiempo que si solo confiamos en nuestro equipo de desarrollo interno o en la comunidad en general. En última instancia, es nuestra máxima prioridad proporcionar la plataforma más segura posible para todos los usuarios de ARK y esperamos que poner nuestro código frente a miles de evaluadores nos ayude a proporcionar esto.
