Apenas um hacker pode pensar como um hacker. Portanto, quando se trata de se tornar “à prova de hackers”, talvez seja necessário recorrer a um hacker.
A segurança de aplicativos sempre foi um tema quente que só ficou mais quente com o tempo.
Mesmo com uma horda de ferramentas e práticas defensivas à nossa disposição (firewalls, SSL, criptografia assimétrica, etc.), nenhum aplicativo baseado na web pode alegar que é seguro além do alcance dos hackers.
Por que é que?
A razão simples é que a construção de software continua sendo um processo muito complexo e frágil. Ainda existem bugs (conhecidos e desconhecidos) dentro da fundação que os desenvolvedores usam, e novos estão sendo criados com o lançamento de novos softwares e bibliotecas. Mesmo as empresas de tecnologia de primeira linha estão prontas para constrangimentos ocasionais e por um bom motivo.
últimas postagens
Agora contratando. . . Hackers!
Dado que bugs e vulnerabilidades provavelmente nunca deixarão o domínio do software, onde isso deixa as empresas dependentes desse software para sobreviver? Como, por exemplo, um novo aplicativo de carteira pode ter certeza de que resistirá às tentativas desagradáveis de hackers?
Sim, você adivinhou agora: contratando hackers para vir e dar uma olhada neste aplicativo recém-criado! E por que eles iriam? Só porque há uma recompensa grande o suficiente em oferta – a recompensa de insetos! 🙂
Se a palavra “recompensa” traz de volta memórias do Velho Oeste e balas sendo disparadas sem abandono, é exatamente essa a ideia aqui. De alguma forma, você consegue que os hackers de elite e conhecedores (especialistas em segurança) analisem seu aplicativo e, se encontrarem algo, serão recompensados.
Há duas maneiras de fazer isso: 1) hospedar uma recompensa de bug por conta própria; 2) usando uma plataforma de recompensas de bugs.
Bug Bounty: Auto-hospedado vs. plataformas
Por que você se daria ao trabalho de selecionar (e pagar) uma plataforma de recompensas de bugs quando você pode simplesmente hospedá-la por conta própria. Quero dizer, basta criar uma página com os detalhes relevantes e fazer barulho nas redes sociais. Obviamente não pode falhar, certo?
Hacker não está convencido!
Bem, essa é uma boa ideia, mas veja da perspectiva do hacker. Lutar por bugs não é tarefa fácil, pois requer vários anos de treinamento, conhecimento virtualmente ilimitado de coisas antigas e novas, muita determinação e mais criatividade do que a maioria dos “designers visuais” tem (desculpe, não pude resistir a isso! :-P).
O hacker não sabe quem você é ou não tem certeza de que você pagará. Ou talvez, não está motivado. Recompensas auto-hospedadas funcionam para gigantes como Google, Apple, Facebook, etc., cujos nomes as pessoas podem colocar em seu portfólio com orgulho. “Encontrei uma vulnerabilidade crítica de login no aplicativo HRMS desenvolvido pela XYZ Tech Systems” não parece impressionante, não é (com as devidas desculpas a qualquer empresa que possa se assemelhar a esse nome!)?
Depois, há outras razões práticas (e esmagadoras) para não ir sozinho quando se trata de recompensas de bugs.
Falta de infraestrutura
Os “hackers” de que falamos não são os que perseguem a Dark Web.
Esses não têm tempo nem paciência para o nosso mundo “civilizado”. Em vez disso, estamos falando aqui de pesquisadores com formação em ciência da computação que estão em uma universidade ou são caçadores de recompensas há muito tempo. Essas pessoas querem e enviam informações em um formato específico, o que é uma dor em si para se acostumar.
Mesmo seus melhores desenvolvedores terão dificuldade para acompanhar, e o custo de oportunidade pode ser muito alto.
Resolvendo envios
Por fim, há a questão da prova. O software pode ser construído em regras totalmente determinísticas, mas exatamente quando um requisito específico é atendido está em debate. Vamos dar um exemplo para entender isso melhor.
Suponha que você criou uma recompensa de bug para erros de autenticação e autorização. Ou seja, você afirma que seu sistema está livre dos riscos de falsificação de identidade, que os hackers têm que subverter.
Agora, o hacker encontrou uma fraqueza com base em como um navegador específico funciona, o que permite que eles roubem o token de sessão de um usuário e se passem por ele.
Isso é um achado válido?
Da perspectiva do hacker, definitivamente, uma violação é uma violação. Do seu ponto de vista, talvez não, porque ou você acha que isso é de responsabilidade do usuário ou que o navegador simplesmente não é uma preocupação para o seu mercado-alvo.
Se todo esse drama estivesse acontecendo em uma plataforma de recompensas por bugs, haveria árbitros capazes de decidir o impacto da descoberta e encerrar o problema.
Com isso dito, vamos dar uma olhada em algumas das plataformas populares de recompensas de bugs por aí.
YesWeHack
YesWeHack é uma plataforma global de recompensas por bugs que oferece divulgação de vulnerabilidades e segurança de crowdsourcing em muitos países, como França, Alemanha, Suíça e Cingapura. Ele fornece uma solução disruptiva de Bug Bounty para enfrentar as ameaças que aumentam com o aumento da agilidade dos negócios, onde as ferramentas tradicionais não atendem mais às expectativas.
O YesWeHack permite que você acesse o pool virtual de hackers éticos e maximize os recursos de teste. Selecione os caçadores que deseja e envie os escopos para serem testados ou compartilhe-os com a comunidade YesWeHack. Segue alguns regulamentos e padrões rigorosos para salvaguardar os interesses dos caçadores, bem como os seus.
Melhore a segurança do seu aplicativo aproveitando a capacidade de resposta do caçador e minimize o tempo de correção e detecção de vulnerabilidades. Você poderá ver a diferença assim que iniciar o programa.
Recompensa de bug aberto
Você está pagando demais por programas de recompensas por bugs?
Tentar Recompensa de bug aberto para testes de segurança da multidão.
Esta é uma plataforma de recompensa de bugs aberta, gratuita e desintermediada, orientada para a comunidade. Além disso, oferece divulgação responsável e coordenada de vulnerabilidades compatível com a ISO 29147. Até esta data, já ajudou a corrigir mais de 641 mil vulnerabilidades.
Pesquisadores e profissionais de segurança de sites líderes como WikiHow, Twitter, Verizon, IKEA, MIT, Berkeley University, Philips, Yamaha e outros usaram a plataforma Open Bug Bounty para resolver seus problemas de segurança, como vulnerabilidades XSS, injeções SQL, etc. Você pode encontrar profissionais altamente experientes e receptivos para realizar seu trabalho rapidamente.
Hackerone
Entre os programas de recompensas de bugs, Hackerone é o líder quando se trata de acessar hackers, criar seus programas de recompensas, divulgar e avaliar as contribuições.
Existem duas maneiras de usar o Hackerone: use a plataforma para coletar relatórios de vulnerabilidade e resolvê-los você mesmo ou deixe os especialistas do Hackerone fazerem o trabalho duro (triagem). A triagem é simplesmente o processo de compilar relatórios de vulnerabilidade, verificá-los e comunicar-se com hackers.
Hackerone é usado por grandes nomes como Google Play, PayPal, GitHub, Starbucks e afins, então claro, é para quem tem bugs graves e bolsos sérios. 😉
Multidão
Multidão oferece diversas soluções para avaliações de segurança, sendo uma delas o Bug Bounty. Ele fornece uma solução SaaS que se integra facilmente ao seu ciclo de vida de software existente e facilita a execução de um programa de recompensas de bugs bem-sucedido.
Você pode optar por ter um programa de recompensas de bugs privado que envolva alguns hackers selecionados ou um programa público que atrai milhares de pessoas.
SafeHats
Se você é uma empresa e não se sente confortável em tornar seu programa de recompensas de bugs público – e ao mesmo tempo precisa de mais atenção do que pode ser oferecido por uma plataforma de recompensas de bugs típica – SafeHats é a sua aposta mais segura (trocadilho terrível, hein?).
Consultor de segurança dedicado, perfis detalhados de hackers, participação somente para convidados — tudo isso é fornecido dependendo de suas necessidades e maturidade do seu modelo de segurança.
Intigriti
Intigriti é uma plataforma abrangente de recompensas de bugs que conecta você a hackers de chapéu branco, quer você queira executar um programa privado ou público.
Para hackers, há muito recompensas para pegar. Dependendo do tamanho e da indústria da empresa, caças de bugs que variam de € 1.000 a € 20.000 estão disponíveis.
Synack
Synack parece ser uma daquelas exceções de mercado que quebram o molde e acabam fazendo algo enorme. Seu programa de segurança Hackear o Pentágono foi o grande destaque, levando à descoberta de várias vulnerabilidades críticas.
Portanto, se você está procurando não apenas a descoberta de bugs, mas também orientação e treinamento de segurança de alto nível, Synack é o caminho a seguir.
Conclusão
Assim como você fica longe de curandeiros que proclamam “curas milagrosas”, por favor, fique longe de qualquer site ou serviço que diga que a segurança à prova de balas é possível. Tudo o que podemos fazer é dar um passo em direção ao ideal. Como tal, os programas de recompensa de bugs não devem produzir aplicativos sem bugs, mas devem ser vistos como uma estratégia essencial para eliminar os realmente desagradáveis.
Veja isso curso de caça a bugs aprender e ganhar fama, recompensas e apreço.
Saiba mais sobre os maiores programas de recompensas de bugs do mundo.
Espero que você esmague muitos deles bugs! 🙂