Simplesmente encontrar vulnerabilidades e corrigi-las “é totalmente inútil”, de acordo com Eduardo Vela, do Google, que lidera a equipe de resposta de segurança de produtos da gigante da nuvem.
“Não nos importamos com vulnerabilidades; nós nos preocupamos com exploits”, disse ele em uma entrevista exclusiva. “Esperamos que as vulnerabilidades estejam lá, elas serão corrigidas, e isso é bom e tudo. Mas a ideia é o que fazer além de apenas corrigir algumas vulnerabilidades.”
Para esse fim, o Google’s O projeto Capture-the-Flag (kCTF) de código aberto e baseado em Kubernetes não paga aos pesquisadores uma recompensa para apenas encontrar uma vulnerabilidade do kernel Linux. Em vez disso, eles precisam explorar o bug: conectar-se às instâncias do Google Kubernetes Engine (GKE), hackear e usar o bug para roubar os sinalizadores ocultos.
A comunidade mais ampla aprende com a exploração e pode usar esse conhecimento para tentar tornar o kernel do Linux (e a Internet em geral) mais seguro. E o caçador de bugs potencialmente ganha mais de US$ 100.000.
“É por isso que pagamos US$100.000: é muito mais trabalho e aprendemos muito com essas façanhas”, disse Vela.
No início deste ano, o Google aumentou seus valores de recompensa e hoje disse que pagará permanentemente essas taxas mais altas – entre US$ 20.000 e US$ 91.337 – aos pesquisadores que encontrarem e explorarem em seu ambiente de laboratório kCTF.
Este valor é superior ao prêmio original de US$ 10.000 por exploração, que Vela admitiu que “não atraiu muita atenção”.
Além disso, como parte do programa kCTF, o Google está lançando novas instâncias com recompensas adicionais para avaliar a mais recente imagem estável do kernel Linux e atenuações experimentais em um kernel personalizado. Ele pagará um adicional de US$ 21.000 por explorações que comprometam o kernel Linux mais recente e o mesmo valor para as mitigações experimentais, elevando o total de recompensas para um máximo de US$ 133.337.
O primeiro conjunto de mitigações visa o seguintes explorações: gravação fora dos limites em slab, ataques de cache cruzado, objetos elásticos e corrupção de lista livre.
E pode haver mais no futuro, de acordo com Vela.
“Toda a ideia com um VRP é um esforço da comunidade”, disse ele, referindo-se aos programas de recompensas de vulnerabilidade. No total, o Google pagou US$ 8,7 milhões em recompensas a quase 700 pesquisadores em seus vários VPRs no ano passado.
“Somos apenas um ator em toda a comunidade que por acaso tem recursos econômicos, recursos financeiros, mas precisamos da comunidade para nos ajudar a melhorar o Kernel”, disse Vela. “Se a comunidade estiver engajada e nos ajudar a validar as mitigações que temos, continuaremos crescendo em cima disso. Mas a ideia é que precisamos ver onde a comunidade quer que cheguemos com isso.”
À medida que as superfícies de ataque das organizações continuam a se expandir e as próprias ameaças crescem em sofisticação e número, organizações privadas como Google e Microsoft estão pagando recompensas mais altas por bugs, enquanto um número crescente de agências públicas se junta à caça.
No Dia da Independência, o Departamento de Defesa dos EUA lançou seu próprio programa para relatórios de vulnerabilidades em sistemas e aplicativos voltados para o público em parceria com a HackerOne, fabricante da plataforma de recompensas de bugs.
Na verdade, o relatório mais recente desse fornecedor descobriu que os preços de recompensa para vulnerabilidades altas e críticas estão aumentando à medida que as organizações priorizam bugs de alto impacto.
O preço médio de um bug crítico saltou 20%, de US$ 2.500 em 2020 para US$ 3.000 em 2021, de acordo com o HackerOne. Enquanto isso, o preço médio de recompensa para um bug crítico aumentou 13% e 30% para um bug de alta gravidade.
No entanto, nem sempre se trata do pagamento em dinheiro, de acordo com Vela, e diferentes caçadores de insetos têm motivações diferentes. Alguns querem dinheiro, alguns querem fama e alguns querem apenas resolver um problema interessante, disse Vela. “Estamos tentando encontrar a combinação certa para cativar as pessoas.”
