Caça a falhas de software e brechas de segurança podem render prêmios de até US$ 200 mil a hackers e pesquisadores de segurança.
Você pagaria um ladrão para invadir sua casa? As pessoas mais espertas diriam provavelmente que não, mas companhias inteligentes de tecnologia estão cada vez mais dizendo que sim. Empresas como a Google oferecem recompensas para hackers que consigam encontrar maneiras de entrar em seus softwares.
Essas companhias frequentemente pagam milhares de dólares pela descoberta de apenas um bug - o suficiente para que a caça a bugs possa fornecer uma renda significativa. E em um nível diferente, mais amplo, o hacker que encontrar a melhor forma de proteger as aplicações Windows de serem comprometidas está na fila para receber 200 mil dólares da Microsoft na competição BlueHat Prize.
As empresas envolvidas dizem que os programas de recompensa tornam seus produtos mais seguros. "Nós recebemos mais relatos de bugs, o que significa que temos mais correções, o que significa uma melhor experiência para nossos usuários", afirmou Adam Mein, gerente de programa de segurança responsável pela divisão de aplicativos da Web do Programa de Recompensa de Vulnerabilidade da Google. “Também desenvolvemos relacionamentos positivos com os pesquisadores que estão a caça desses bugs”.
Mas os programas não estão livres de controvérsias. Algumas empresas, em especial a Microsoft, acreditam que as recompensas devem apenas serem usadas para pegar cibercriminosos, para não encorajar as pessoas a encontrar as falhas. E também há a questão de double-dipping - a possibilidade de um hacker receber um prêmio por ter achado a vulnerabilidade e então vender a informação sobre o mesmo bug para compradores maliciosos.
A grande dança
O “Campeonato Mundial de Pôquer” para hackers é o Pxn2own, competição hackers anual que acontece durante a conferência de segurança CanSecWest.
“Nossas grandes recompensas atraem a cobertura da grande imprensa, e a sensibilização dos consumidores sobre as vulnerabilidades de segurança", diz o gerente de logística da Pwn2Own, Aaron Portnoy.”Isso pressiona fornecedores como a Apple e a Google a responder a questões sobre a segurança de seus produtos”.
Qualquer um que obtenha sucesso ao hackear um celular ou navegador na Pwn2Own leva para casa um prêmio de 15 mil dólares e o aparelho usado para a ação. A Google adoça o negócio recompensando pesquisadores de segurança que conseguiram invadir um produto da empresa com um prêmio adicional de 20 mil dólares. Ao todo, a competição já distribuiu mais de 160 mil dólares de prêmios em dinheiro desde que começou, em 2007.
Mas isso é fichinha comparado às recompensas que a Google oferece em seus próprios produtos. Desde o início, em novembro passado, o Programa de Recompensa por Vulnerabilidade da Google já pagou quase 500 mil dólares para os caçadores de bugs que relataram falhas de segurança no Chromium (a base de código aberto para o navegador Chrome do Google) ou para qualquer um dos diversos aplicativos do Google.
Isso é uma bolada, mas em troca a empresa resolve centenas de falhas que de outra forma não poderiam ter sido descobertas antes que cibercriminosos as aproveitassem para algum tipo de intrusão. O pessoal da Google visualiza as recompensas como despesas que valem a pena porque incentivam pesquisadores de segurança a relatar vulnerabilidades de softwares para desenvolvedores, em vez de explorar essas falhas para ganhos privados.
A Google já contratou um caça-recompensas como pesquisador de segurança full-time, e mais contratações podem acontecer. Claramente, grandes prêmios são uma boa maneira de atrair e estimular os melhors caçadores de bugs - alguns tão bons que poderiam viver apenas identificando vulnerabilidades.
Analise o Chromium Secutiry Hall of Fame, por exemplo, e você verá que o pesquisador Sergey Glazunov ganhou quase 20 mil dólares este ano, como um caçador de bugs. E isso foi só da Google. Com a proliferação de grandes recompensas, que estão sendo oferecidas por fornecedores ou equipes de pesquisa de segurança, como TippingPoint (recentemente comprada pela HP) é possível que pesquisadores talentosos ganhem a vida de forma mais decente, como caçadores de prêmios.
Zero Day Initiative
Dando aos pesquisadores de segurança reconhecimento positivo - e grandes prêmios em dinheiro - por reportar falhas, a Zero Day Initiative, um programa de compra de vulnerabilidades, espera tornar a internet mais segura. Toda vez que a ZDI pagar por uma falha, ela informa ao fornecedor responsável pela vulnerabilidade, livre de cobranças.
"Todo ano nós informamos centenas de bugs para a Microsoft e a Adobe gratuitamente", disse Aaron Portnoy, que gerencia a Zero Day Initiative, além de trabalhar na competição Pwn2Own. "Se o fornecedor não tiver uma correção pronta em seis meses, nós liberamos os detalhes da exploração publicamente. Colocamos pressão sobre os fornecedores para corrigir esses problemas."
Mas a ZDI não é totalmente altruísta. Ela pode pagar recompensas de até 25mil dólares por dados sobre bugs porque a organização monetiza as falhas por meio da Digital Vaccine, um serviço de filtro de malware baseado em assinatura da HP (que também é a dona da ZDI) A Digital Vaccine fornece proteção imediata das vulnerabilidades encontradas pelo ZDI para quem estiver disposto a pagar por isso, permitindo o lucro da iniciativa enquanto recompensa pesquisadores de segurança.
E o double-dipping?
Uma pergunta óbvia: como a Google e a ZDI podem garantir que um hacker que descobre uma vulnerabilidade e reivindica a recompensa também não vai vender as informações sobre que exploram a cibercriminosos? A resposta é que eles não podem. Mas isso talvez não importe tanto quanto você pensa.
Todo programa de recompensas que investigamos tem um sistema de honra, que exclui os pesquisadores que fazem o double-dipping. Mas a longo prazo, quem oferece recompensas não se preocupa muito com a possibilidade de que caçadores de recompensas por bugs passarem informações sobre as vulnerabilidades descobertas para mal intencionados, porque elas se tornarão obsoletas na próxima correção. Em última instância ZDI ganha com a venda da Digital Vaccine para assinantes que pagam pelo privilégio de receber correções de bug quase que de maneira imediata para seus produtos e serviços favoritos, em vez de esperar que os fornecedores para corrijam as vulnerabilidades descobertas.
Mire nos hackers, não nos bugs
A filosofia dos programas de recompensas se resume a isso: Capturar assaltantes é muito difícil, portanto, em vez, vamos ter certeza que a casa é realmente segura. "Localizar hackers é cada vez mais difícil", diz Portnoy. "A Web é anônima. Hackers podem facilmente compartilhar bugs, por isso, é muito mais fácil simplesmente eliminar brechas."
Nem toda empresa concorda com esse ponto de vista. A Microsoft defende que as recompensas em dinheiro devem ser oferecidas apenas para atormentar hackers notórios.
"Os programas de 'recompensas' oferecidas somente pela Microsoft são prêmios para ajudar a trazer os cibercriminosos à justiça", escreveu Jerry Bryant, gerente de grupo do Grupo de Computação Confiável da Microsoft, em um e-mail à PCWorld. "Esses são muito diferentes dos programas de recompensas por bugs", que não oferecemos. "
A Microsoft postou vários prêmios de 250 mil dólares por informações que levem à prisão de hackers infames, incluindo os responsáveis pela botnet Rustock, o vírus Conficker, e o worm Sasser. A recompensa pelo Sasser levou à prisão de um adolescente que supostamente escreveu o worm (ele foi entregue às autoridades por dois amigos). Os outros prêmios ainda não resultaram em detenções.
BlueHat Pize
Na Conferência BlueHat Security, a Microsoft anunciou um tipo diferente de recompensa. Ela não é por cibercriminosos ou bugs. Em vez disso, o Prêmio BlueHat é um prêmio de 200mil dólares pelo protótipo mais inovador que impeça a exploração de vulnerabilidades de segurança de memória em aplicativos Windows.
"Ao considerar o Prêmio BlueHat, queríamos olhar além do padrão “pay-per-vuln” e abordar questões realmente de grande impacto na indústria de segurança, e recompensar o trabalho em soluções inovadoras que podem mitigar classes inteiras de ataques ", escreveu Bryant, da Microsoft. Em outras palavras, os empreendedores de caça a recompensas devem ser grandes ou irem para casa.
Nenhum comentário:
Postar um comentário