Recompensas de bugs estão nas notícias novamente. O Twitter anunciou o seu próprio novo esquema, enquanto Robert Graham, da Errata Security reivindica que é mais provável a perda de dados pessoais se o prestador de serviços não tem um programa de recompensas. As recompensas do Twitter começam em $140 (sem limite máximo especificado), enquanto Graham (perito) afirma que a falta de um programa indica que a empresa violada não fez tudo o que podia para evitar a falha.
O ponto de vista de Graham implica que recompensas por bugs são um processo eficaz de segurança. As recompensas do Twitter tentam mostrar que esses programas não precisam ser caros. Mas isso pode ser levado como verdade? Veja a opinião de Ilia Kolochenko, CEO e fundador da High-tech Bridge, uma empresa especializada em testes de invasão e descoberta de vulnerabilidades.
"Bug bounties, podem ser uma ferramenta extremamente efetiva se for implementada e operada corretamente. O problema, é a dificuldade de encontrar e a raridade que é obtida, pode-se fazer mais mal que bem."
"O maior problema é que quando um programa desses é iniciado, hackers de todos os tipos, qualificações e ética consideram como um sinal verde para atacar o sistema. A maioria destes atacantes normalmente tem conhecimentos limitados ou completamente nenhum conhecimento em testes de segurança, e podem acabar danificando o sistema em quanto testam. Checar por XSS por exemplo não causa dano, e mesmo sem o programa de bugs é sempre uma boa idéia notificar o desenvolvedor", disse Kolochenko. "Mas em testes mais perigosos como SQLi por exemplo, se o pesquisador não tiver conhecimento do que pode e não pode fazer, pode sem intenção deletar alguma coisa ou tornar o sistema completamente instável. E isso que nem estou falando sobre ferramentas automáticas e scanners que causam sérios danos se usados de forma errada. Neste caso, é que a maioria dos hackers usam diversas ferramentas de scan de vulnerabilidades ao mesmo tempo, bombardeando o alvo de testes de segurança."
Em muitos casos e locais, o scan por SQLi, por exemplo, pode ser considerado ilegal. A presença de um programa de recompensa, por outro lado, remove completamente essa restrição, dando acesso a hackers mais maliciosos e de baixo conhecimento. Kolochenko também comenta que pesquisadores de segurança não veem isso como um trabalho, podem fazer isso em busca de reconhecimento, por diversão ou a nível de desafio, mas dificilmente seu trabalho principal.
Um exemplo disso é o próprio Twitter. Como comentou Kolochenko, o Twitter não é um CMS qualquer que qualquer pessoa pode auditar facilmente, é um sistema que requer experiência, qualificações e muito tempo. Também comenta que não conhece nenhum pesquisador de segurança que trabalhe por $140. Com isso pode afirmar que as pessoas que submetem bugs encontrados estão fazendo por fama ou desafio.
Outro exemplo usado por Kolochenko é o programa do Yahoo que paga a cada falha encontrada cerca de $50, podendo ser convertida em créditos da Yahoo Store, como o caso do pesquisador que encontrou uma falha de XSS no Yahoo e ganhou cerca de $12 na loja, ou seja, uma camiseta com o logo do Yahoo.
De acordo com pesquisas, um pentester ou pesquisador de segurança nos EUA ganha em torno de $60.000 a $120.000 dólares por ano, e Kolochenko conclui que para o negócio de bug bounties atrair pesquisadores mais sérios, as recompensas tem de serem maiores o suficiente para chegar próximo de um valor aceitável para viver disso para que chame a atenção de times de pesquisa de segurança.
Fonte:
Net-security
