A perspetiva de um hacker é singular. Assim, para alcançar uma proteção robusta contra ataques cibernéticos, pode ser necessário adotar uma estratégia que envolva a própria mentalidade de um hacker.
A segurança das aplicações tem sido uma preocupação constante, que se intensificou ao longo do tempo.
Apesar da variedade de ferramentas e práticas de defesa disponíveis, como firewalls, SSL e criptografia assimétrica, nenhuma aplicação web pode garantir uma proteção total contra hackers.
Porquê?
A explicação reside na natureza intrinsecamente complexa e frágil do desenvolvimento de software. A base que os desenvolvedores utilizam está repleta de bugs, tanto conhecidos como desconhecidos, e novas falhas surgem constantemente com o lançamento de novos softwares e bibliotecas. Até mesmo as grandes empresas de tecnologia enfrentam desafios ocasionais, e com razão.
Contratando… Hackers!
Dado que os bugs e vulnerabilidades são uma constante no mundo do software, como é que as empresas que dependem desse software podem garantir a sua sobrevivência? Por exemplo, como pode uma nova aplicação de carteira digital assegurar a sua resiliência contra tentativas de hacking?
A resposta é simples: contratar hackers para analisar a nova aplicação! E o que os motivaria? A possibilidade de uma recompensa substancial – uma recompensa por bugs! 🙂
Se a palavra “recompensa” evoca imagens do Velho Oeste, com tiros e perseguições, a ideia é precisamente essa. É necessário atrair hackers experientes e especialistas em segurança para examinar a sua aplicação, oferecendo recompensas por quaisquer vulnerabilidades que encontrem.
Existem duas formas de implementar isto: 1) organizar um programa de recompensas por bugs internamente ou 2) utilizar uma plataforma especializada para recompensas por bugs.
Recompensas por Bugs: Autogestão vs. Plataformas
Por que razão escolher uma plataforma especializada (e pagar por ela) quando se pode gerir um programa de recompensas por bugs internamente? Bastaria criar uma página com os detalhes necessários e promover a iniciativa nas redes sociais. Parece simples, certo?
Um hacker não se convence facilmente!
A ideia pode parecer boa à primeira vista, mas é preciso ver a questão do ponto de vista de um hacker. Encontrar bugs não é uma tarefa trivial; exige anos de formação, um conhecimento profundo e vasto, muita determinação e uma boa dose de criatividade. É um desafio que vai além da capacidade de muitos designers visuais (desculpem, não resisti! :-P).
Os hackers não o conhecem e podem duvidar do seu compromisso de pagamento. Ou simplesmente podem não estar motivados. Programas de recompensas auto geridos funcionam bem para gigantes como Google, Apple e Facebook, cujos nomes são um motivo de orgulho para qualquer hacker. “Encontrei uma vulnerabilidade crítica na aplicação HRMS da XYZ Tech Systems” não soa tão impressionante, concorda (com as devidas desculpas a qualquer empresa com um nome semelhante!)?
Além disso, existem outras razões práticas (e convincentes) para evitar a autogestão de um programa de recompensas por bugs.
Falta de Infraestrutura
Os “hackers” de que falamos não são os que se movimentam na Dark Web.
Eles não têm tempo nem paciência para as formalidades do nosso mundo. Estamos a falar de investigadores com formação em ciência da computação, que trabalham em universidades ou que se dedicam à caça de bugs. Essas pessoas querem enviar informações num formato específico, o que pode ser um desafio a gerir.
Até os seus melhores desenvolvedores podem ter dificuldades em acompanhar, e o custo de oportunidade pode ser elevado.
Gestão de Submissões
Há também a questão da validação. O software é construído sobre regras determinísticas, mas a interpretação de quando um requisito específico é cumprido pode ser subjetiva. Vejamos um exemplo para clarificar.
Imagine que criou um programa de recompensas por bugs para falhas de autenticação e autorização. Ou seja, afirma que o seu sistema está protegido contra falsificação de identidade.
Agora, um hacker encontrou uma vulnerabilidade no funcionamento específico de um determinado navegador, que permite roubar o token de sessão de um utilizador e personificá-lo.
Esta descoberta é válida?
Do ponto de vista do hacker, uma falha é uma falha. Mas a sua perspetiva pode ser diferente, por considerar que a responsabilidade é do utilizador ou que esse navegador não é relevante para o seu público-alvo.
Se esta situação ocorresse numa plataforma de recompensas por bugs, haveria árbitros capazes de avaliar o impacto da descoberta e resolver a questão.
Dito isto, vamos analisar algumas das plataformas populares de recompensas por bugs.
YesWeHack
YesWeHack é uma plataforma global de recompensas por bugs que oferece serviços de divulgação de vulnerabilidades e segurança de crowdsourcing em vários países, como França, Alemanha, Suíça e Singapura. Oferece soluções inovadoras para enfrentar as ameaças que surgem com a crescente agilidade dos negócios, para as quais as ferramentas tradicionais já não são suficientes.
A YesWeHack permite aceder a um grupo virtual de hackers éticos e maximizar os recursos de teste. Pode selecionar os hackers que pretende e enviar os escopos a serem testados, ou partilhá-los com a comunidade YesWeHack. A plataforma segue regulamentos e padrões rigorosos para proteger os interesses dos hackers e das empresas.
Melhore a segurança da sua aplicação, aproveitando a capacidade de resposta dos hackers e minimizando o tempo de deteção e correção de vulnerabilidades. Notará a diferença logo que iniciar o programa.
Open Bug Bounty
Estará a pagar demasiado pelos seus programas de recompensas por bugs?
Experimente Open Bug Bounty para testes de segurança através de crowdsourcing.
Esta é uma plataforma de recompensas por bugs aberta, gratuita e sem intermediários, orientada para a comunidade. Oferece divulgação de vulnerabilidades responsável e coordenada, em conformidade com a norma ISO 29147. Já contribuiu para a correção de mais de 641 mil vulnerabilidades.
Investigadores e profissionais de segurança de sites de referência como WikiHow, Twitter, Verizon, IKEA, MIT, Berkeley University, Philips, Yamaha e outros utilizaram a plataforma Open Bug Bounty para resolver os seus problemas de segurança, como vulnerabilidades XSS e injeções SQL. Pode encontrar profissionais altamente experientes e responsivos para executar o seu projeto rapidamente.
Hackerone
Entre os programas de recompensas por bugs, Hackerone é líder no acesso a hackers, criação de programas de recompensas, divulgação e avaliação de contribuições.
Existem duas formas de utilizar a Hackerone: pode usar a plataforma para recolher relatórios de vulnerabilidades e resolvê-las internamente ou pode deixar os especialistas da Hackerone tratarem da triagem. A triagem é o processo de compilação, verificação e comunicação com os hackers.
A Hackerone é utilizada por grandes nomes como Google Play, PayPal, GitHub, Starbucks e outros, o que significa que é uma boa opção para quem tem falhas graves e recursos financeiros.
Bugcrowd
Bugcrowd oferece várias soluções para avaliações de segurança, incluindo programas de recompensas por bugs. Fornece uma solução SaaS que se integra facilmente ao seu ciclo de vida de desenvolvimento de software e facilita a execução de um programa de recompensas por bugs bem-sucedido.
Pode optar por um programa de recompensas por bugs privado, que envolva um grupo seleto de hackers, ou por um programa público, que atraia milhares de participantes.
SafeHats
Se a sua empresa não se sente confortável em tornar o programa de recompensas por bugs público, e ao mesmo tempo necessita de mais atenção do que a que é oferecida por uma plataforma típica de recompensas por bugs, SafeHats é a sua melhor opção (desculpe o trocadilho).
Consultores de segurança dedicados, perfis detalhados de hackers e participação apenas por convite são alguns dos serviços oferecidos, adaptados às suas necessidades e ao nível de maturidade do seu modelo de segurança.
Intigriti
Intigriti é uma plataforma abrangente de recompensas por bugs que o conecta a hackers de chapéu branco, quer pretenda executar um programa privado ou público.
Os hackers têm muitas recompensas disponíveis. Dependendo do tamanho e do setor da empresa, as recompensas por bugs variam entre € 1.000 e € 20.000.
Synack
A Synack parece ser uma exceção no mercado, destacando-se pela inovação e resultados impressionantes. O seu programa de segurança Hackear o Pentágono, que levou à descoberta de várias vulnerabilidades críticas, é um exemplo do seu sucesso.
Se procura não apenas a deteção de bugs, mas também orientação e formação em segurança de alto nível, a Synack é uma excelente opção.
Conclusão
Tal como se deve evitar curandeiros que proclamam “curas milagrosas”, é fundamental desconfiar de sites ou serviços que afirmam que a segurança “à prova de balas” é possível. O que podemos fazer é dar passos na direção do ideal. Os programas de recompensas por bugs não devem ser vistos como uma solução mágica para criar aplicações sem falhas, mas como uma estratégia essencial para eliminar as vulnerabilidades mais críticas.
Consulte este curso de caça de bugs para aprender, ganhar reconhecimento, recompensas e respeito.
Saiba mais sobre os maiores programas de recompensas por bugs do mundo.
Espero que encontre muitos bugs! 🙂