Bug Bounty: Empresas pagando para ser invadidas

Na última semana, uma competição anual onde profissionais de segurança disputam pelas melhores posições no ranking de quem encontra mais vulnerabilidades, pagou um dos maiores prêmios da história, somando mais de USD 1.300.000,00 (quase 6,5 milhões de reais).

Ocorrida na cidade de Vancouver no Canadá, a Pwn2Own reuniu equipes de várias partes do mundo, para procurar e identificar falhas em produtos e serviços de várias empresas, como Microsoft Windows 11, Ubuntu Linux, VMWare, Docker, Google Chrome, Microsoft Edge, Oracle Virtual Box, Tesla, entre outros.

Além dos prêmios em dinheiro, a Tesla premiou a equipe mais bem colocada (Synacktiv) com um veículo Tesla Model 3 (avaliado em aproximadamente USD 40.000,00) devido à criticidade da falha encontrada.

Primeiramente o que chama a atenção, é o tamanho das empresas citadas, cujos nomes, devem lhe soar familiar.

Ocorre que este tipo de competição acontece há muito tempo e em muitos lugares, pois no mundo da tecnologia, a segurança cibernética se tornou prioridade máxima, e o conceito de "bug bounty" tem ganhando destaque com o passar dos anos.

O Que é Bug Bounty

Esses programas incentivam indivíduos (frequentemente hackers éticos, estudantes e pesquisadores de segurança) reportar bugs e falhas de segurança em sistemas e softwares, oferecendo recompensas financeiras por tais descobertas.

Esse modelo colaborativo não apenas ajuda a proteger informações sensíveis e infraestruturas críticas, mas também promove uma relação de transparência e confiança entre as empresas de tecnologia e a comunidade de segurança cibernética, pois esses programas incentivam hackers éticos a usar suas habilidades para melhorar a segurança de softwares e sistemas, submetendo relatórios detalhados sobre vulnerabilidades que encontraram, em troca de compensações financeiras ou outras formas de reconhecimento.

A ideia é simples: ao invés de esperar que um atacante mal-intencionado descubra e explore uma falha, a organização paga para que os pesquisadores de bugs os ajudem a identificar e corrigir problemas antes que causem danos.

Em vez de se apoiar exclusivamente em suas equipes internas de segurança, organizações de todos os tamanhos agora reconhecem o valor que hackers éticos externos podem trazer ao processo de identificação de vulnerabilidades.

Atualmente, empresas como Google, Microsoft e Facebook, Tesla lideram esse caminho, tendo oferecido somas substanciais por bugs críticos reportados, mas o cenário já está estabelecido para que mais organizações adotem essa estratégia, de modo que, hoje, milhares de empresas participam destes programas devido aos seus benefícios.

Vantagens para os Hackers

Aí você se pergunta: Mas se eu sou um hacker, por que não uso essa habilidade para extorquir empresas e roubar dinheiro, como vejo nos filmes?

Por isso, lembramos que quando falamos do termo “hacker”, estamos nos referindo a um indivíduo que, devido às suas habilidades técnicas, ´´é capaz de fazer com que um dispositivo ou sistema funcione de uma maneira que não tenha sido projetado para tal. Um hacker pode ser um profissional ou criminoso, o que difere é a intenção.

Portanto, para os profissionais de segurança cibernética e hackers éticos, os programas de bug bounty oferecem várias vantagens. Primeiramente, proporcionam uma plataforma para que demonstrem suas habilidades em um ambiente legal e seguro, abrindo portas para oportunidades de carreira e reconhecimento dentro da comunidade de segurança.

Além disso, esses programas permitem que os pesquisadores sejam compensados financeiramente pela sua dedicação, muitas vezes oferecendo recompensas significativas por bugs críticos. Isso não apenas valida o esforço do indivíduo mas também incentiva a educação contínua e o desenvolvimento de habilidades em segurança cibernética.

Vantagens para a Sociedade

Para a sociedade em geral, os programas de bug bounty trazem o benefício de sistemas mais seguros e confiáveis. Ao identificar e corrigir vulnerabilidades antes que sejam exploradas por hackers mal-intencionados, esses programas ajudam a proteger dados sensíveis de indivíduos e empresas, minimizando o risco de fraudes, vazamentos de informações e outros tipos de ciberataques.

E para as empresas, especificamente, a vantagem é diretamente financeira, porque, devido à sua maturidade em segurança, muitas vezes, empresas com grandes estruturas, já estão com suas ferramentas e equipes saturadas. 

Deste modo, fica difícil verticalizar a expansão das defesas. E, ao recompensar profissionais externos que não possuem contato direto com a infraestrutura interna, possibilita uma visão por outro ângulo, geralmente, onde se enxerga o que equipes internas demorariam para identificar.

Então qualquer pessoa pode participar?

Teoricamente, sim. Desde que atenda aos critérios e regras estabelecidos pelo programa em questão. Esses programas são projetados para serem inclusivos, permitindo que pessoas com diversas habilidades e níveis de experiência contribuam para a segurança cibernética. Contudo, existem alguns pontos importantes a considerar caso você esteja pensando em participar.

Habilidades Técnicas

Embora qualquer pessoa possa participar, aqueles com habilidades técnicas avançadas em áreas como programação, redes, segurança da informação e sistemas operacionais geralmente têm mais sucesso. Conhecimento sobre vulnerabilidades específicas, como injeção de SQL, cross-site scripting (XSS), falhas de execução remota de código (RCE), entre outras, é fundamental.

Ética

Assim como na profissão, à qual aqueles que tiveram formação de ensino superior juraram trabalhar, sobretudo, com ética, os participantes de programas de bug bounty devem sempre agir com integridade, procurando reforçar a segurança de uma maneira que não cause dano ou revele dados sensíveis desnecessariamente.

As suas ações devem ser conduzidas com a intenção de proteger e não de explorar ou prejudicar, mantendo sempre os interesses da segurança e privacidade em primeiro lugar.

Aprendizado Contínuo

O campo da segurança cibernética está sempre evoluindo, com novas vulnerabilidades e técnicas de exploração surgindo regularmente. Participantes bem-sucedidos em programas de bug bounty geralmente estão em um estado contínuo de aprendizado para aprimorar suas habilidades para descobrir novas vulnerabilidades.

Regras e Diretrizes

Cada programa de bug bounty tem seu conjunto de regras e diretrizes que devem ser seguidas rigorosamente. Isso pode incluir restrições sobre como os testes são conduzidos, quais tipos de vulnerabilidades são elegíveis para recompensa e como os relatórios devem ser submetidos. O não cumprimento dessas diretrizes pode resultar na desqualificação do participante.

Aspectos Legais

Também é necessário estar ciente das implicações legais de suas ações. É importante agir de acordo com a lei e obter permissão explícita antes de tentar descobrir ou explorar vulnerabilidades em sistemas que não são de sua propriedade.

Portanto, embora a barreira para entrar em programas de bug bounty possa ser baixa, o sucesso neles requer dedicação, habilidades técnicas sólidas e um compromisso contínuo com as melhores práticas éticas e legais, que geralmente é adquirido através da prática e disciplina.

Por onde eu começo?

Para quem está começando, existe muitos programas e comunidades que oferecem recursos educacionais e desafios práticos para ajudar a desenvolver as habilidades necessárias para participar efetivamente.

E aqui vou abordar de forma breve para que este artigo não fique muito extenso, os CTFs (Capture the Flag), que são campeonatos, ou até mesmo plataformas para prática da exploração de vulnerabilidades. Deste modo, não é necessário explorar sistemas alheios ou possuir e manter uma estrutura cara para tal.

Plataformas de CTF

Existem centenas, porém vou listar aqui algumas por onde você pode começar:

Hack The Box
Try Hack Me
Hacker 101
Google CTF

Programas de bug bounty

Da mesma forma, existem inúmeros. Os mais conhecidos são:

Hacker One (pagamento em dólar)
Intigriti (pagamento em euro)
Bug Hunter (plataforma brasileira)
Bug Crowd (pagamento em dólar)
Yes We Hack (pagamento em dólar)

Detalhe importante: como você deve ter percebido, a maioria das plataformas, tanto de CTF quanto de bug bounty estão em inglês. Portanto, recomendamos fortemente o investimento no aprendizado do idioma para melhor aproveitamento dos conteúdos.

Conclusão

Os profissionais da Overnine são altamente capacitados para identificar e explorar vulnerabilidades nos ambientes de nossos clientes. E esse conhecimento veio através das várias formas de prática, como, além do estudo formal acadêmico, os CTFs e os programas de bug bounty, onde além de ser uma área muito interessante (por vezes divertida), é possível obter rendas extras explorando sistemas de empresas cadastradas nesses programas.

Oferecemos várias soluções de segurança para o seu ambiente. Caso tenha ficado com alguma dúvida ou busca uma solução robusta de segurança para seu ambiente, entre em contato conosco que estaremos prontos para lhe atender.

Clique aqui para ver outras matérias.