Descobrir e relatar falhas críticas de segurança que podem permitir que espiões estrangeiros roubem dados confidenciais do governo dos EUA ou lancem ataques cibernéticos por meio dos sistemas de TI do Departamento de Defesa não traz uma grande recompensa.
O Pentágono , em seu mais recente programa Hack US de uma semana realizado com o HackerOne, pagou US$ 75.000 em recompensas por bugs e outros US$ 35.000 em bônus e prêmios para hackers éticos que divulgaram vulnerabilidades críticas e de alta gravidade nas redes do Tio Sam.
Para comparação: um caça F-35 custa entre US$ 110 milhões e US$ 136 milhões, dependendo do modelo, e esse preço provavelmente aumentará quando o Pentágono comprar o próximo lote da Lockheed Martin. E a US$ 33.600 por hora de voo para um sobrevoo no estádio, a recompensa por vulnerabilidades críticas de software fica curta em comparação.
É claro que caçadores de bugs não podem lançar bombas ou vigiar inimigos do ar. Mas seu trabalho pode, digamos, impedir que bisbilhoteiros privados e espiões estrangeiros interrompam essas operações de caça ou cooptem suas missões de reconhecimento.
De acordo com a plataforma de recompensas de bugs HackerOne e o DoD, a iniciativa Hack US recebeu 648 submissões de 267 pesquisadores de segurança que descobriram 349 falhas de segurança. As falhas de divulgação de informações foram as vulnerabilidades mais relatadas, seguidas por controles de acesso impróprios e injeção de SQL.
O Pentágono não disse quantos caçadores de insetos receberam recompensas, ou quanto cada um deles ganhou.
No entanto, ao anunciar o concurso no início deste ano, prometeu pagar US$ 500 ou mais por falhas de alta gravidade, US$ 1.000 por falhas críticas e até US$ 5.000 por conquistas específicas, como US$ 3.000 por a melhor descoberta para *.army.mil.
Olá, setor privado
Enquanto isso, a Microsoft pagou US$ 13,7 milhões em recompensas de bugs distribuídos por 335 pesquisadores na última ano, com um pagamento Hyper-V Bounty de $ 200.000 como seu maior prêmio. E o Google concedeu US$ 8,7 milhões em 2021.
“Os programas de recompensas de bugs mais bem-sucedidos atingem um equilíbrio uniforme entre benefícios monetários e sociais”, disse Eduardo Vela, do Google, que lidera a equipe de resposta à segurança do produto O Registro.
“Para os caçadores de insetos, deve haver um incentivo monetário para levá-los a participar – mas também há valor em criar um espaço onde as pessoas possam se reunir, conectar-se umas com as outras e hackear como uma equipe. Reunir os principais caçadores de bugs requer ambos – um sem o outro não é suficiente.”
Também vale a pena observando que o programa piloto de divulgação de vulnerabilidades do DoD, que terminou em abril, não pagou nenhuma recompensa monetária. Portanto, pelo menos o Hack US, com suas recompensas de bugs pagas (embora míseras), está um passo à frente disso. Katie Savage, vice-diretora de inteligência digital e artificial da Diretoria de Serviços Digitais, em um comunicado. “Ao pagar recompensas monetárias a hackers éticos, fortalecemos nossas defesas de uma maneira muito impactante.”
Alguns na comunidade infosec, no entanto, dizem que não é muito impactante.
O foco do Pentágono deve ir além das recompensas e incluir investimentos reais em segurança, de acordo com Katie Moussouris, fundadora e CEO da Luta Security.
“A estratégia geral de segurança em torno As recompensas de bugs do governo dos EUA realmente não evoluíram além do jogo whack-a-bug, e precisam evoluir além das discussões sobre o preço da recompensa”, disse Moussouris.
“Onde está o investimento contínuo em pessoas, processos e tecnologia para resolver ou evitar a maioria dessas falhas de segurança antes que um caçador de recompensas possa encontrá-las?
” A menos que o DoD queira se parecer com todas as outras empresas privadas que dizem que ‘levam a segurança a sério’ apenas porque têm uma recompensa por bugs, eles precisam começar a mostrar como esses programas estão direcionando seus esforços de segurança mais amplos e visando objetivos de segurança significativos, não prêmios de recompensa totais para gerar manchetes.”
