Bug bounty: seja pago para perseguir bugs!
Quantas vezes encontramos um bug ao usar algum software? Claro que muitas vezes, e pode parecer estranho, mas existem atividades conhecidas como bug bounty que prometem recompensar em dinheiro quem encontrar bugs em softwares específicos. Pode parecer absurdo no começo, por que alguém pagaria para ter bugs relatados em seu software? É quase certo que se pode dizer que, na maioria dos casos, a razão se encontra no contexto da cibersegurança .
A cibersegurança é de fato uma questão delicada e que vem se transformando em uma questão muito delicada nos últimos anos . É um problema que afeta a todos, desde pequenas empresas até nações inteiras. Na verdade, não é mais um problema ligado à tecnologia em si, mas também se tornou um problema ligado ao ser humano.
Isso explica por que empresas como Mozilla, Facebook, Yahoo!, Google, Reddit e Microsoft, entre outras, lançam programas Bug Bounty para enganar os usuários e fazê-los encontrar bugs em seus softwares.
Qual é a conexão entre bugs e segurança cibernética?
Obviamente, é legítimo se perguntar qual é a ligação entre bugs e segurança cibernética. É fácil dizer: no na maioria dos casos, os bugs são a causa direta ou indireta de problemas no código do software em questão, o que pode causar vulnerabilidades que podem ser usadas para criar exploits, prejudicando assim a segurança do próprio software.
Então aqui começamos a perceber o quão complexa é a cadeia de eventos por trás do uso de um exploit , e a linha de código que permite seu uso. A partir daqui, pode-se deduzir que o objetivo das campanhas Bug Bounty não é diretamente resolver 100% todas as vulnerabilidades presentes em um sistema, mas reduzir o risco de exposição a um ataque cibernético .
Qualquer um pode ser um caçador de insetos? Existem plataformas para participar desses programas?
A resposta para ambas as perguntas é, claro, sim! As empresas realmente precisam de pessoas para trabalhar nessa tarefa muito específica , e o trabalho praticamente nunca é feito. E para facilitar as coisas, existem várias plataformas que permitem visualizar e participar (às vezes até de forma “lúdica” apresentando rankings) como o Bugcrowd .
Um exemplo seria o programa de recompensas de bugs ExpressVPN . Então, por que essa empresa propõe tal atividade? Provavelmente está relacionado a questões de segurança, e ao ler a proposta encontramos como explicação que a ExpressVPN gerencia milhares de servidores VPN e cria aplicativos VPN multiplataforma para todos os principais sistemas operacionais de desktop e móveis, bem como roteadores e extensões de navegador.
Portanto, gerenciando milhares de servidores e criando vários aplicativos multiplataforma, os bugs que poderiam ser usados para atacar a própria empresa poderiam ser milhares . Uma empresa que publica esses concursos geralmente confia muito na qualidade de seu software e sabe que encontrar bugs que incluam vulnerabilidades nesse caso pode ser uma tarefa e tanto .
É por isso que as recompensas costumam ser bastante altas , mas é necessário verificar cuidadosamente o que é aceito pelo programa de recompensas de bugs que você está lendo e o que é exigido pela empresa para revisar e possivelmente aceitar o trabalho . Um exemplo de vulnerabilidades aceitas pelo programa de recompensas de bugs da ExpressVPN é:
- Acesso não autorizado a um servidor VPN ou execução remota de código
- Vulnerabilidades em nosso servidor VPN que resultam na perda de endereços IP de clientes reais ou na capacidade de monitorar o tráfego de usuários
Os requisitos mínimos para enviar um bug encontrado são pelo menos uma prova do impacto da ExpressVPN na privacidade do usuário . Isso exigirá uma demonstração de acesso não autorizado, execução remota de código, perda de endereços IP ou a capacidade de monitorar o tráfego de usuários não criptografado (VPN não criptografado).
O Bugcrowd oferece algumas estatísticas sobre o programa que você está visualizando. Por exemplo, o relacionado ao ExpressVPN oferece entre US$ 150 e US$ 2.500 por vulnerabilidade descoberta . O período de revisão é de aproximadamente 1 dia, e 71 atividades de recompensas de bugs neste programa foram recompensadas até agora, com um pagamento médio de $ 600.
O nascimento da expressão "bug bounty"
A primeira (conhecida) atividade de recompensa de descoberta de bugs parece ter ocorrido em 1983 para o sistema operacional Versatile Real-Time Executive (um sistema operacional em tempo real adequado para System-On-Chip ou sistemas embarcados clássicos integrados). Qualquer pessoa que encontrasse e relatasse um bug receberia um Fusca em troca.
No entanto, temos que esperar uma década para ver, pela primeira vez, o termo "recompensa de bugs" usado oficialmente. Estamos de fato em 1995, quando Jarrett Ridlinghafer, engenheiro de suporte técnico da Netscape Communications Corporation, cunhou a expressão "Bug Bounty".
Ridlinghafer observou que a Netscape tinha muitos entusiastas do produto, alguns dos quais poderiam até ser considerados fanáticos do navegador Netscape. Ridlinghafer começou a investigar o fenômeno com mais detalhes, descobrindo que muitos dos entusiastas em questão eram na verdade engenheiros que estavam corrigindo bugs no próprio produto e postando as correções ou soluções alternativas , seja nos fóruns de notícias online que haviam sido criados pelo Suporte Técnico da Netscape ou no site não oficial “Netscape U-FAQ”, que listou todos os bugs e recursos conhecidos do navegador, bem como instruções para soluções alternativas e correções.
Artigo de recompensa de bugs: sendo pago para caçar insetos! foi escrito em: Tech CuE | Engenharia de close-up .