Divulgación de vulnerabilidad, uno de los temas más comentados en la seguridad.
En las deliberaciones de la conferencia Virus Bulletin 24th, los términos «vulnerabilidad” y “vulnerabilidades” se repitieron más de 200 veces. No hay mejor manera de demostrar la importancia de un tema que estas continuas menciones.
Algunas vulnerabilidades vistas desde un enfoque defensivo: ¿cómo nos aseguramos de que nuestro software detecta la explotación de vulnerabilidades? O incluso a un nivel mayor: ¿cómo se prueba este tipo de software?
Unos están preocupados por encontrar vulnerabilidades en el software que se desarrollan, mientras que otro grupo pasa su tiempo tratando de encontrar las vulnerabilidades en el software que otros desarrollan. Para lograr que estos dos grupos (opuestos pero similares) trabajen juntos, las “recompensas” por BUGS (errores en el desarrollo, que dan acceso a las vulnerabilidades) se han vuelto la forma más común de integración cooperativa.
Few know more about bug bounties than Katie Moussouris (@k8em0). While working for Microsoft, she was instrumental in introducing the company’s bug bounty programme. In her current role, as Chief Policy Officer at HackerOne, she helps other companies deal with vulnerability response and set up bug bounty programmes, most recently Twitter.
In her keynote ‘Choose your own keynote adventure – bounties and standards and vuln disclosure, oh my!‘, Katie will discuss various elements of vulnerability response. The keynote will be very interactive and she will answer questions both from the VB2014 audience and from Twitter.
Interested in bounties, vuln coordination & disclosure? Ask me Qs & I will answer during my @virusbtn keynote! https://t.co/Ysb9JW0vsU
— Katie Moussouris (@k8em0) September 16, 2014
Some vulnerabilities, however, are so serious and affect so many that the question of how to reward their discoverers becomes almost irrelevant. The most important thing here is to make sure that those affected have patched before those interested in exploiting the vulnerability learn about it.
How we can make sure this happens smoothly will be the topic of the closing panel ‘Vulnerability sharing in the age of Heartbleed‘. Chaired by Chester Wisniewski (Sophos), the discussion will be the next in a series of gripping closing panels that will show new attendees why people at VB always stay until the very end.
VB2014 será realizado la próxima semana en Seattle. Está demostrando ser la Conferencia VB más popular de todas, aún puedes registrarte.
