A cibersegurança não é fácil. À medida que os aplicativos se tornam mais complexos para atender às crescentes necessidades de eficiência e recursos, é muito mais provável que erros não intencionais no código levem a vulnerabilidades. Essas vulnerabilidades podem resultar em sérios danos a uma empresa, incluindo a concessão de acesso a informações confidenciais a terceiros não autorizados. É por causa dessa ameaça que precisamos de caçadores de bugs de segurança.
O que são caçadores de bugs?
Os caçadores de bugs de segurança são “hackers de chapéu branco”, ou seja, que eles se envolvam em testes de penetração (“pentesting”) eticamente. Especificamente, eles tentam invadir sistemas com a permissão dos proprietários. Eles procuram por exploits menos éticos que hackers podem usar e depois informam o proprietário.
Enquanto muitos caçadores de bugs trabalham para empresas de segurança que contratam seus serviços, muito mais comuns são caçadores de recompensas de bugs.
Um caçador de recompensas de bugs é alguém que contrata o desenvolvedor de um produto ou um terceiro usando esse produto para encontrar vulnerabilidades. As recompensas típicas de bugs podem variar de algumas centenas a dezenas de milhares de dólares para um hacker bem-sucedido. Existem vários serviços de recompensa de bugs, como o Hackerone, que conectam clientes e hackers. As empresas publicam recompensas e especificações de teste, então os hackers trabalham em uma maneira de atender a esses requisitos. Geralmente, a primeira pessoa a encontrar uma falha única recebe um pagamento, embora às vezes as empresas paguem por várias instâncias da mesma falha para ver como é fácil encontrá-la.
Há uma taxa muito alta demanda por caçadores de bugs de segurança, e por boas razões.
Por que as empresas os querem?
Nos últimos anos, apesar da pandemia de Coronavírus forçar uma dependência ainda maior do trabalho online, as falhas de dia zero tornaram-se mais prevalentes. Os hackers encontraram grandes falhas no software de grandes fornecedores, incluindo Google e Microsoft.
O problema com o ecossistema online é que nenhuma empresa pode fazer tudo. Eles devem trabalhar com fornecedores, o que significa que alguém de fora da empresa tem um impacto direto nas operações internas. Além disso, os fornecedores não divulgam suas notas de desenvolvimento ou processos com os clientes.
Os caçadores de bugs de segurança podem encontrar falhas no software e permitir que as empresas informem o fornecedor ou encontrem um patch de solução alternativa. Ele não apenas expõe essas falhas, mas pode até mesmo colocar o cliente em uma posição melhor de negociação para licenças ou parcerias.
Mesmo que não fosse esse o caso, acompanhar os avanços da segurança cibernética é quase impossível. As pessoas estão sempre descobrindo novas ferramentas de hacking. Por exemplo, a Symantic acabou de descobrir uma ferramenta que eles estão chamando de Daxin. Ele tem sido usado por mais de uma década para invadir agências governamentais não ocidentais na Ásia e na África.
Supondo que não levou mais de 10 anos para perceber que isso estava sendo usado e foi descoberto imediatamente, uma nova ferramenta teria sido construída para tirar proveito de outras falhas do sistema. Cada ataque pode ser bloqueado e cada bloqueio pode ser anulado.
O uso de recompensas de bugs coloca o ônus sobre contratados independentes para encontrar essas falhas. Isso libera ainda mais recursos internos que, de outra forma, seriam usados para contratar e administrar uma equipe dedicada de segurança cibernética.
O que os caçadores de bugs procuram?
Os caçadores de bugs de segurança, como outros caçadores de recompensas, usam métodos sofisticados de pentesting para encontrar suas pedreiras. Sites como overthewire.org fornecem uma série de “jogos de guerra” para ajudar as pessoas a aprender como realizar pentesting bem e eticamente. Existem inúmeras ferramentas de pentesting que os caçadores de recompensas usam para encontrar vulnerabilidades em um sistema.
Normalmente, as recompensas de bugs incluem informações detalhadas sobre o sistema de destino e quais métodos de teste usar. Isso também elimina falhas de segurança conhecidas dos testes.
Empresas inteligentes não abrem seus sistemas para hackers de bom grado. A maioria criará sistemas sandbox dedicados desconectados de sua rede completa para teste. Pode ser um clone do sistema específico com dados fictícios inseridos. Ou pode ser um sistema único que ainda não foi implementado. De qualquer forma, parte do que distingue os hackers de chapéu branco é que eles permanecem em redes especificadas e relatam quaisquer falhas.
Os caçadores de bugs de segurança podem estar procurando por qualquer coisa, desde um erro que permita que alguém ignore uma tela de senha, falhas em firewalls, maneiras de quebrar um sistema e forçá-lo a desligar e muito mais. Algumas recompensas de bugs são para engenharia social, ou seja, testar a facilidade de obter logins e senhas de funcionários.
É claro que os hackers éticos não estão nisso apenas pelo dinheiro. O prestígio também é uma mercadoria valiosa na indústria de pentesting, abrindo a possibilidade de mais e melhores empregos. Muitos serviços de recompensas de bugs até operam tabelas de classificação para destacar os caçadores mais bem-sucedidos.
Nenhuma entidade pode acompanhar todas as complexidades da segurança cibernética. Felizmente, existem inúmeros hackers de chapéu branco procurando uma oportunidade para testar suas habilidades e ganhar dinheiro com isso.
Os caçadores de bugs de segurança mantêm você seguro
Você pode nem saber quantos aplicativos em seu próprio computador estariam abertos para hackers de chapéu preto se não fosse pelos esforços dos caçadores de bugs de segurança. E você nunca precisa.
