Por que o Vale do Silício está recorrendo a um grupo exclusivo de hackers para consertar seu código

Usuário: Colin / Wikimedia Commons / CC BY-SA 4.0 / Via commons.wikimedia.org

Como os xerifes sem armas no Velho Oeste, organizações de gigantes da tecnologia a agências governamentais se voltaram nos últimos anos para caçadores de recompensas para se manterem seguras. Esses mercenários são hackers e pesquisadores de segurança, que as empresas pagam para encontrar e divulgar falhas em seus softwares e dispositivos. A prática cada vez mais aceita é chamada de sistema de 'recompensa por bug' e dá aos hackers uma maneira legítima de colher recompensas por tornar a tecnologia mais segura sem se tornar desonestos. Ainda assim, o processo pode ser assustador - como as empresas podem encontrar o equilíbrio certo entre abrir seus produtos para hackers e manter um controle rígido sobre suas práticas de segurança?



Os programas tradicionais de recompensa por bugs, como os executados pela Microsoft, Twitter e dezenas de outras organizações, são abertos ao público, o que significa que qualquer pessoa pode alertar sobre as falhas de segurança que acredita ter encontrado. Mas essas recompensas públicas de bugs frequentemente incentivam muito, gerando dezenas de bugs redundantes que podem ou não pertencer a vulnerabilidades realmente prejudiciais. Isso pode sobrecarregar as empresas que não estão configuradas para lidar com eles. E quando as empresas não estão prontas para lidar com um influxo de relatórios de bug, elas podem ignorar ou ter uma resposta atrasada a vulnerabilidades de segurança graves.

Para lidar com o problema, algumas organizações decidiram tornar seus programas de recompensa de bugs privados, o que significa que apenas alguns hackers e pesquisadores podem enviar bugs. Isso ajuda as organizações a desenvolver um programa público ao longo do tempo, controlando a qualidade e a frequência dos envios. A Apple sinalizou as vantagens das recompensas privadas quando anunciou seu primeiro,privadoprograma de recompensa de bug semana passada na conferência de hackers DefCon. LinkedIn , Tor e uma série de outras entidades também estão mantendo seus programas fechados, pelo menos por enquanto. De acordo com a BugCrowd, uma empresa que oferece recompensas por bugs para clientes, 63% de todos os seus programas começaram como privados, uma proporção que está crescendo. HackerOne, um concorrente, recomenda programas privados a todos os seus clientes.



'Convidar o mundo a se submeter pode ser um processo opressor e assustador', disse Jonathan Cran, vice-presidente de operações da BugCrowd. 'Faz sentido para as empresas começarem com pessoas de confiança.'



E a confiança é um grande problema. Um dos motivos pelos quais os programas de recompensa por bug demoraram tanto para pegar depois que o Netscape executou o primeiro em 1995 foi a percepção de que esses programas atraíram a atenção de hackers mal-intencionados. Portanto, não é de surpreender que a maioria das organizações comece suas recompensas privadas por bugs com um grupo de pesquisadores de segurança com quem já têm um relacionamento. É assim que funcionará o programa da Apple, que começa em setembro. De acordo com Cran, o pool inicial em um programa privado é geralmente entre 50 e 100 pesquisadores, embora ele tenha visto programas sendo lançados com apenas dois. Além de garantir um fluxo gerenciável de relatórios pertinentes, começar pequeno ajuda as empresas a obter uma visão geral de onde estão os exploits em potencial. É uma maneira de as empresas que estão fazendo recompensas pela primeira vez mergulharem os pés na água antes de abrir o capital.

'Você vai descobrir que está mais seguro em algumas áreas do que pensava e menos seguro em outras', disse Alex Rice, CTO e cofundador da HackerOne. 'Pode haver coisas que você desconhece completamente, como vulnerabilidades em código não mantido.' Determinar onde e como esses problemas são predominantes, de acordo com Rice, ajuda as empresas a definir preços competitivos e padronizar a rapidez com que lidam com relatórios de bug (que às vezes é uma fonte de tensão em grandes programas de recompensa de insetos )

As complicações de fechar suas recompensas

Alguns discutiram , entretanto, que tais programas sinalizam aos hackers que eles têm um tempo limitado para encontrar e vender exploits no lucrativo mercado privado. Em outras palavras, eles encorajam hackers mal-intencionados a encontrar todas as explorações que puderem antes que o programa seja aberto ao público em busca de bugs.



'Cada um que você está consertando, está apagando o valor de um no mercado negro', disse Rice. Menos de uma semana após o anúncio da Apple, uma empresa de segurança privada ofereceu $ 500.000 - o dobro do tamanho da maior recompensa do programa da Apple - para exploits de dia zero do iOS . (No entanto, somas enormes para iOS zero-day não são nada novo.)

Outra complicação para os programas privados é que eles têm o potencial de alienar pesquisadores. Um dos principais benefícios dos programas de recompensa por insetos é incentivar as pessoas com a habilidade de hackear corporações e governos para usar esses talentos para o bem. Embora muitas empresas, incluindo a Apple, provavelmente aceitem um relatório de vulnerabilidade válido de um hacker fora de sua recompensa de bug particular, tal hacker pode não pensar em enviá-lo a um programa privado em primeiro lugar.

No entanto, a maioria dos programas de recompensa privados planeja eventualmente se expandir para se tornar mais públicos, o que a Apple diz que irá eventualmente fazer. Rice disse que os programas do HackerOne permaneceram privados de três dias a três anos, embora normalmente durem cerca de três meses. Cran diz que o BugCrowd recomenda seis meses para a maioria dos clientes. De fato, em um mundo ideal, o anúncio de um programa privado de alto perfil, como os sinais da Apple aos hackers de que uma empresa, de acordo com Cran, 'acabará pagando pelas coisas' e uma deixa para 'abrir um dispositivo iOS e teste, 'mesmo se o programa for fechado a princípio.



“Todo mundo presume que os programas privados têm restrições rígidas”, disse Katie Moussouris, uma consultora de segurança que criou a primeira recompensa por bugs da Microsoft e, mais recentemente, aconselhou o Departamento de Defesa em seu programa Hack the Pentagon. “Mas é mais um problema de percepção do que de acesso. Um dos maiores problemas é simplesmente confusão sobre como ser convidado para um programa inicialmente privado. '

E entrando nos assuntos iniciais. Sean 'refeições' Melia é o hacker mais bem classificado na classificação de todos os tempos do HackerOne por sua métrica proprietária de 'reputação'. Ele ganha mais dinheiro com recompensas do que em seu trabalho diurno em uma empresa de segurança - 'E eu ganho um bom dinheiro no meu emprego regular', disse ele ao BuzzFeed News. Mas mesmo Melia, a própria imagem de um hacker de confiança, não foi convidada para uma grande recompensa privada recente até quase um ano após seu lançamento.

Quando Melia conseguiu acesso, 'as pessoas já haviam passado e colhido muitas das frutas mais baixas', disse ele. 'Eu estava muito chateado. É desanimador ver que pessoas de baixa reputação ou que são novas na plataforma foram convidadas antes de mim. ' É fácil imaginar um hacker desanimado, excluído de um programa de recompensas como o da Apple, voltando-se para o mercado privado.

Ainda assim, como os defensores da recompensa de bugs privados são rápidos em apontar, as empresas sempre tiveram testes de bugs privados que deixaram de fora a grande maioria dos hackers. Mesmo que sejam privados, o crescente número de recompensas por bugs é um sinal de que mesmo as organizações mais cautelosas, da Apple ao governo americano, perceberam que precisam - que todos precisam - da participação da maior comunidade de segurança cibernética para fazer seus sistemas e produtos tão seguros quanto possível.

“Tradicionalmente, as pessoas não falavam sobre o fato de terem um programa privado”, disse Moussouris, que consultou a Apple antes do anúncio de seu programa. 'Esta é uma mudança de pensamento. Também está dizendo ao mundo que estamos abertos a esse conceito, mas também vamos aprender à medida que avançamos nesse processo. '