.
Entrevista O programa de recompensas por bugs da Microsoft celebrou seu décimo aniversário este ano e pagou US$ 63 milhões a pesquisadores de segurança na primeira década – com US$ 60 milhões concedidos a caçadores de bugs somente nos últimos cinco anos, de acordo com Redmond.
Embora hoje em dia o programa de divulgação de vulnerabilidades e recompensas pareça óbvio para uma grande preocupação de software, há dez anos “a iniciativa de recompensa por bugs não estava livre de resistência interna”, lembrou Aanchal Gupta, vice-presidente corporativo da Microsoft e vice-CISO.
Do caos à cadência: comemorando duas décadas do Patch Tuesday da Microsoft
CONSULTE MAIS INFORMAÇÃO
Em um artigo desta semana comemorando a primeira década do programa, Gupta conta como ele começou com relatos de vulnerabilidades em uma prévia do Internet Explorer 11 e exploração de falhas no Windows 8.1. Em 2013, a recompensa pelas falhas encontradas no IE na versão prévia era especialmente nova, acrescentou ela.
“Embora não sejamos pioneiros em oferecer incentivos monetários para terceiros relatarem vulnerabilidades de segurança de software, fomos um dos primeiros a incentivar a descoberta de problemas em produtos beta ou de pré-visualização”, escreveu Gupta. “Acreditávamos que a identificação e resolução precoce de bugs, de preferência antes do lançamento geral do produto, é fundamental para a proteção do cliente”.
Gupta também destacou o crescimento explosivo da iniciativa bug bounty, especialmente desde 2018. No ano fiscal de 2019, por exemplo, a Microsoft “mais que dobrou o número de relatórios de recompensas, participantes de programas e prêmios em comparação com o ano anterior”, escreveu ela. Um ano depois, concedeu mais de 13 milhões de dólares a mais de 300 investigadores de segurança em 15 categorias, e também atribuiu prémios maiores para questões mais sérias.
“Em julho de 2020, introduzimos categorias baseadas em cenários com prêmios mais elevados, de até US$ 100.000, para vulnerabilidades que representam sérios riscos à privacidade e segurança do cliente”, contou Gupta. “Os pesquisadores se mobilizaram, aumentando o número de vulnerabilidades de execução remota de código (RCE) sem clique ou entre locatários encontradas em mais de 50% ano após ano.”
Além disso, ela deu crédito a Katie Moussouris, que desempenhou um papel fundamental em convencer os altos escalões de Redmond de que a Microsoft precisava de um programa de recompensas por bugs – apesar dos executivos prometerem nunca pagar pesquisadores por bugs.
Moussouris, que fundou sua própria empresa, a Luta Security, em 2016, também comemorou o aniversário do programa com uma reminiscência – detalhando os anos de sangue, suor e dados que ela passou defendendo recompensas de bugs para a liderança da Microsoft.
“Na época, teria sido difícil vender para qualquer um”, disse Moussouris Strong The One. A Netscape anunciou sua recompensa inicial por bugs em 1995 com uma recompensa de US$ 500, e 15 anos depois o Google ofereceu US$ 1.337 por vulnerabilidade em 2015. “Ninguém mais queria fazer isso”, explicou Moussouris.
Como vender uma nova ideia para uma empresa antiga
Moussouris detalhou os anos de dados que ela coletou para provar o caso de negócios para recompensas de bugs, bem como os padrões ISO sobre divulgação de vulnerabilidades e processos de tratamento de código que ela foi coautora e coeditora entretanto.
Mas, em última análise, o ponto de viragem para a Microsoft resumiu-se ao desejo de vencer uma jovem empresa chamada Google, que tinha o seu próprio navegador que desafiava o domínio de mercado do Internet Explorer. “Foi a crescente concorrência apresentada pelo Google Chrome, aquele antigo incêndio na competição de produtos, que nos levou à linha de chegada”, disse Moussouris Strong The One.
Assim que a Microsoft iniciou um programa de recompensas por bugs, o Pentágono tomou nota. Isso levou ao primeiro evento militar de recompensa por bugs dos EUA.
“Quando Hackear o Pentágono aconteceu em 2016, isso novamente foi outro evento seminal onde não apenas os maiores militares que o mundo já viu convidaram hackers para testar seus sistemas, mas também teve esse efeito cascata de encorajar outros governos – não apenas outros governos. agências do nosso próprio governo, mas de outros governos em todo o mundo – para começar a olhar seriamente para estas práticas”, lembrou Moussouris com orgulho.
O software é mais seguro?
Mas será que esses tipos de recompensas por divulgação de vulnerabilidades tornaram o software mais seguro?
Não, de acordo com Moussouris. E ela atribui isso, ironicamente, ao surgimento de plataformas de recompensa por bugs e de desenvolvedores que investem em pagamentos em dinheiro e programas de divulgação de vulnerabilidades, em vez de fazerem o verdadeiro trabalho de desenvolvimento seguro de software.
“Porque ambos são investimentos – não se trata apenas de pagamentos em dinheiro, mas do trabalho que você precisa fazer para realmente corrigir as vulnerabilidades”, explicou ela.
“Portanto, sempre foi minha filosofia olhar, você tem que tentar prevenir o máximo de bugs que puder, tentar consertar o máximo de bugs que puder, e então você pode se abrir para uma divulgação de vulnerabilidade ou recompensa de bug programa.”
Ciclos de feedback e métricas significativas
Para tornar os produtos de software e hardware mais seguros, Moussouris quer ver um “ciclo de feedback concreto”, com aprendizados abundantes sobre bugs retroalimentando os ciclos de vida de desenvolvimento seguro das organizações.
Além disso, aqueles que gerem as recompensas deveriam fazer um trabalho melhor ao definir “métricas significativas” para avaliar o sucesso dos seus programas – em vez de apenas quanto dinheiro pagaram a quantos investigadores.
“Tem que haver coisas como: reduzimos ou eliminamos classes de vulnerabilidades? Essa é uma métrica que mostraria que você está conectando os pontos entre o programa de recompensas de bugs e seu ciclo de vida de desenvolvimento seguro”, explicou Moussouris.
Outras métricas incluem: o tempo médio para reparar diminuiu nas falhas mais críticas? Caso contrário, é uma boa ideia alocar mais recursos nessa área, acrescentou ela.
Moussoris concluiu com um desafio: “Ajustamos nossos programas de recompensas de bugs para conversar com nossa resposta a incidentes e inteligência de ameaças para monitorar e reagir em tempo real a ataques reais?
“Os ataques estão aumentando. Isso não vai mudar. Como você está usando seu programa de recompensas de bugs para moldar sua resposta a incidentes ao vivo e torná-la mais eficiente?” ®
.
