Nos últimos anos, por causa da escassez de especialistas em segurança da informação e da falta de tempo para explorar internamente possíveis vulnerabilidades, cada vez mais empresas têm recorrido a Programas de Identificação de Falhas, também conhecidos como Programas de Recompensa por Bugs (Bug Bounty Programs) ou Vulnerability Reward Programs (VRP).
Um Bug Bounty Program consiste, em linhas gerais, na autorização dada por uma empresa para que partes externas realizem avaliações de segurança em seus ativos em troca de recompensa, caso vulnerabilidades sejam encontradas. Assim, aplica-se o princípio do crowdsourcing à segurança cibernética, mobilizando comunidade de especialistas para testar um escopo e recompensando esses profissionais a cada vulnerabilidade descoberta. Esses programas permitem que empresas identifiquem previamente brechas de segurança, reduzindo riscos e evitando que seus negócios sejam impactados pela ação de agentes mal-intencionados.
Em geral, apenas o primeiro relato de vulnerabilidade válida, isto é, reproduzível e corrigível, é recompensado. Os demais são considerados duplicados. Vulnerabilidades que afetam gravemente vários usuários ou segurança da plataforma subjacente são consideradas de alta prioridade e recompensadas com valores mais altos, como acesso não autorizado, execução remota de código e escalonamento de privilégios.
Como funciona um VRP?
Bug Bounty Programs ou Vulnerability Reward Programs (VRP) podem ser públicos ou privados. No primeiro caso, o programa estará exposto, de forma gratuita, para qualquer participante da plataforma, o que maximiza sua abrangência e o número de envolvidos na busca por possíveis falhas. Já nos privados, o acesso é realizado apenas por especialistas convidados, que normalmente passam por processo de validação e checagem de antecedentes (background check).
A maioria dos programas de recompensa é privada. Isso acontece porque as empresas preferem a segurança e o anonimato oferecidos por programa privado, o que possibilita dominar o processo de manipulação de vulnerabilidades.
É possível, ainda, que empresas interessadas em auditar seus serviços contratem plataformas privadas que atuam como intermediárias, conectando companhias com especialistas e pesquisadores de segurança independentes (“white hat hackers”). Essas plataformas estabelecem e executam programa com curadoria de acordo com as necessidades da contratante.
Empresas como Facebook, Microsoft, Google, Intel e United Airlines têm programas próprios de Identificação de Bugs, enquanto Airbnb, IBM, AT&T e outras fazem uso de programas oferecidos por plataformas especializadas. O site BugCrowd disponibilizou lista com empresas que fazem uso de Programas de Identificação de Falhas.
No Brasil, a primeira plataforma de bug bounty foi lançada em 2020 e já conta com a participação de mais de 1,5 mil especialistas em segurança da informação, além de oferecer recompensas que somam até R$ 8 mil por falha identificada. Entre os clientes estão as empresas OLX e BitcoinTrade.
Vantagens de um Programa de Bug Bounty
A adoção do Bug Bounty Program tem inúmeras vantagens, entre as quais se destacam:
1. Redução de custos: O custo médio diário de operação de um Programa de Recompensa é de US$ 230, o que significa custo médio anual de US$ 83.950. Cabe destacar, no entanto, que os programas geralmente pagam recompensas apenas quando eles encontram, de fato, vulnerabilidades relevantes.
2. Maiores chances de encontrar vulnerabilidades: Aqui, quanto maior o número de pessoas em busca de vulnerabilidades, maiores são as chances de encontrá-las. É uma relação diretamente proporcional, sendo também maiores as chances de minimização de riscos. Em média, um programa pode esperar por 156 relatórios válidos ao longo de um ano. Os programas recém-lançados podem receber até 20 novos relatórios válidos por dia e, com essa média de 156 relatórios por ano, uma organização pode esperar que 13 vulnerabilidades críticas sejam descobertas.
3. Incrementos reputacionais: A natureza pública da maioria desses programas pode constituir boa estratégia de imagem para a empresa, sinalizando para o público e até mesmo para os reguladores o compromisso da organização com a melhoria contínua de sua segurança da informação.
Riscos associados a esse tipo de programa
Assim como existem pontos positivos em destaque, a adoção de Programas de Recompensa por Bugs também apresenta riscos:
1. Qualidade dos relatórios: A natureza pública dos programas representa um desafio, pois praticamente qualquer pessoa pode participar, e as organizações podem ser dominadas por relatórios de baixo valor. Plataformas de recompensa reconhecem que o principal desafio enfrentado ao executar programa público em grande escala é gerenciar o ruído ou a proporção de relatórios de baixo valor que recebem, que incluem spam (ou seja, relatórios completamente irrelevantes), falsos positivos (ou seja, problemas que não existem realmente ou não têm impacto na segurança) e relatórios fora do escopo.
2. Exposição de vulnerabilidades a terceiros: Bug Bounty é considerado por muitos uma abordagem arriscada para melhorar a segurança. Isso porque a organização pede a hackers independentes que sondem e testem seus sistemas de software remotamente. Assim, as empresas temem que alguns hackers possam danificar o sistema de produção ou roubar dados dos usuários durante as pesquisas de vulnerabilidade, podendo, ainda, divulgar vulnerabilidades encontradas para outras partes ou mesmo para o público.
Por outro lado, os hackers envolvidos também se preocupam com a possibilidade de enfrentar acusações legais por eventuais divulgações não autorizadas. Dessa forma, é preciso ressaltar que a adesão a um programa de Bug Bounty não corresponde a ataque malicioso. Esse risco pode ser limitado por meio da adesão ao programa privado, em que hackers participantes passam por processo de validação antes de iniciarem as atividades, bem como podem ter responsabilidades estabelecidas em contrato.
3. Retornos limitados: A maioria dos participantes desse tipo de programa concentra-se em vulnerabilidades do site (72%), enquanto apenas 3,5% optam por procurar vulnerabilidades no sistema operacional. Isso provavelmente ocorre porque romper barreiras de segurança de sistemas operacionais (como hardware de rede e memória) requer conhecimento especializado. Consequentemente, empresas podem ver retorno significativo do investimento para recompensas por bugs em sites, e não para outras aplicações, particularmente aquelas que exigem conhecimento especializado.
Para mais informações, nossa equipe de Resposta a Incidentes de Segurança da Informação, o que envolve prevenção e repressão de atos ilícitos, está à disposição.