Em 10 de outubro de 1995 a Empresa NetScape, responsável pelo Navegador de Internet de mesmo nome, comunicou[1] para a imprensa o lançamento de um programa público, procurando usuários que pudessem encontrar bugs em uma versão experimental do seu software.

A organização deste programa envolvia pessoas de grande relevância no mercado de Software da época, como Eric Schmidt (Presidente da Sun Microsystems), e daria recompensas aos usuários de acordo com a categoria de Bug encontrado.

Este evento é conhecido como o primeiro Bug Bounty realizado por uma grande empresa de Tecnologia na história.

 

O que são Programas de Bug Bounty

Apesar de possuir uma definição bastante simples (Programas de Recompensa por Bugs), este tipo de iniciativa ainda é bastante exclusiva de grandes empresas, pois envolve um investimento alto de dinheiro e planejamento especializado. Atualmente são eventos mais direcionados a hackers e pesquisadores de Segurança Cibernética.

As duas modalidades[2] mais conhecidas de Bug Bounty são:

1 – Programas públicos: Nessa modalidade, qualquer pessoa pode participar e enviar relatórios. Obviamente, são programas bem mais concorridos, de escopo mais aberto e em alguns casos não há premiação financeira para os participantes.

2- Programas Privados: Nessa modalidade, hackers e pesquisadores de CiberSegurança com grande notoriedade na comunidade são convidados por grandes empresas para procurar bugs em escopos específicos de suas aplicações. Este tipo de programa, pelo fato de ser mais exclusivo, é mais rentável e já garantiu até que um hacker argentino de 19 anos[3] se tornasse milionário em fevereiro de 2019.

Um tipo ainda mais específico de Bug Bounty é focado em Cibersegurança de Sistemas Industriais, que correspondem pela sigla ICS (Industrial Control System)[4]. Esse tipo envolve a exploração de problemas em dispositivos presentes apenas em plantas industriais.

Na grande maioria dos casos, os programas procuram beneficiar ambos os lados participantes:

  • Os responsáveis pelo Software encontram problemas e vulnerabilidades antes que um novo produto seja lançado.
  • A equipe de desenvolvedores do Software entra em contato com os melhores hackers do Mundo, tendo a oportunidade de se antecipar em relação a novas táticas de exploração de falhas.
  • Os hackers podem colocar seus conhecimentos em prática, recebendo recompensas e sem correr o risco de serem presos.

 

Porém, há situações em que o reconhecimento por parte da empresa é insatisfatório e recheado de problemas.

Um exemplo famoso[5] é o do pesquisador Paquistanês Khalil Shreateh, que após relatar aos Engenheiros do Facebook um problema de segurança e ser ignorado por eles,  postou um vídeo no Mural de Mark Zuckerberg para provar a existência da falha que ele havia relatado.

Para a surpresa de todos, o Facebook não recompensou o Paquistanês. Alegando[6] que ele deveria ter criado uma conta de Teste e demonstrado ao time de Segurança que esta falha acontecia com qualquer usuário. Portanto, sua forma de demonstração não pôde ser aceita, pois violava a privacidade de um usuário.

 

Bug Bounty na GeoPolitica

Grandes potências mundiais estão de olho nos programas de Bug Bounty. Isso acontece porque, quando uma vulnerabilidade é encontrada em um software utilizado por uma grande gama de segmentos da Sociedade, a sua divulgação precisa passar por alguns tipos de cuidados, pois pode se tornar uma arma na mão de Nações Inimigas.

Já existem provas concretas de que vulnerabilidades em softwares podem causar uma grande perda de estabilidade em toda Internet Mundial se forem replicadas em escala.

Alguns exemplos famosos são:

  • O ransomware Wanna Cry[7], que em maio de 2017 infectou em torno de 200.000 computadores Windows espalhados em mais de 150 países. Esse software explorava uma falha nos Sistemas Windows XP e Windows Server 2003 da Microsoft.
  • A falha HeartBleed[8] do protocolo de comunicação OpenSSL, que incrivelmente ficou encoberta por dois anos (desde 2018) sem ser descoberta por ninguém e que atingiu mais 12 milhões de Servidores ao redor do mundo.
  • O RansomWare StuxNet[9], que foi descoberto em 2011 e que tinha a habilidade específica de alterar o funcionamento das centrífugas de enriquecimento de urânio do Irã, atrasando o programa nuclear daquele País.

 

A China é um dos países que já demonstrou publicamente[10] sua preocupação. Em 2017, foi criada, na Lei de Segurança Cibernética do país, uma cláusula informando que a publicação de vulnerabilidades e outras informações de segurança cibernética “deve cumprir as disposições nacionais relevantes”. Em outras palavras, pesquisadores de Segurança Cibernética Chineses precisam reportar suas descobertas ao Governo antes de comunicar para as empresas.

Uma vez que os Hackers Chineses estão em segundo lugar em uma das maiores plataformas de Bug Bounty no mundo, esse cenário imposto pelo Governo Chinês produz impactos significativos na Segurança Cibernética como um todo. Além de uma tensão geopolítica, pois podem haver bugs sérios descobertos por Chineses que não são de conhecimento público.

Por outro lado, no mesmo ano de 2017 os Estados Unidos, sob grande pressão de órgãos de luta pela privacidade, retiraram a confidencialidade de um documento chamado “Vulnerabilities Equities Policy and Process”[13], que expôs o Fluxo de Trabalho e quantas agências do Governo Americano participam da análise de risco envolvida na publicação ou não de uma vulnerabilidade de Segurança em um Software.

Esta publicação demonstrou uma mudança de postura do Governo Americano, que, através da NSA, escondeu por muitos anos falhas de segurança em Roteadores e Firewalls utilizados no mundo todo.

 

Conclusão

Os programas de Bug Bounty nasceram sem nenhum interesse político ou estratégico. Em seus primórdios houve quem oferecesse[11] um Volkswagen Fusca como premiação.

Porém, a mudança de valor agregado aos nossos dados, a guerra pelo 5g, o crescente aumento de dispositivos conectados à internet (Internet das Coisas) e os escândalos de invasão de privacidade revelados pelo Hacker Edward Snowden fizeram este tipo de iniciativa deixar de ser um nicho de grandes empresas do Vale do Silício para se tornar também assunto de Governos e Agências de Inteligência.

Se de um lado existem hackers bem intencionados dispostos a trocar suas habilidades por recompensas, do outro, podemos ter governos espionando pessoas e desenvolvendo armas de Guerra cibernética.

Identificar as peças desse tabuleiro é um dilema bastante complexo, mas iniciativas como a da Empresa Mozilla[12], buscando garantir o ”Hacking Legal” colaborativo entre empresas e governos, trazem um pouco de transparência ao processo.

Isso  já é um grande passo.

 

Referências

[1]https://web.archive.org/web/19970501041756/http://www101.netscape.com/newsref/pr/newsrelease48.html

[2] https://thehackerish.com/bug-bounty-what-it-is-and-what-to-expect/

[3]https://portswigger.net/daily-swig/im-not-a-fan-of-critical-bugs-santiago-lopez-on-his-route-to-becoming-the-worlds-first-bug-bounty-millionaire

[4]https://portswigger.net/daily-swig/pwn2own-miami-hackers-earn-400-000-by-cracking-ics-platforms

[5]https://www.dailymail.co.uk/news/article-2396628/Mark-Zuckerbergs-Facebook-page-hacked-Khalil-Shreateh-expose-site-vulnerability.html

[6]https://news.ycombinator.com/item?id=6230803

[7]https://www.sciencedirect.com/science/article/abs/pii/S0045790618323164

[8]https://www.youtube.com/watch?v=SgJm0C6jzbo

[9]https://www.kaspersky.com.br/blog/stuxnet-as-origens/4391/

[10]https://papers.ssrn.com/sol3/papers.cfm?abstract_id=2809862

[11]https://is.muni.cz/th/de05t/master_thesis_final_Archive.pdf

[12]https://blog.mozilla.org/press/files/2017/05/VEP-WhatWeKnow.pdf

[13]https://trumpwhitehouse.archives.gov/sites/whitehouse.gov/files/images/External%20-%20Unclassified%20VEP%20Charter%20FINAL.PDF