Como ganhar milhares de dólares buscando erros em programas de informática. |
Neste mês o governo dos Estados Unidos anunciou a abertura, pela primeira vez, de um programa para "caçadores" de erros de software (os chamados "bug hunters", em inglês), oferecendo uma recompensa de US$ 150 mil (cerca de R$ 540 mil) para quem conseguir detectar falhas nos sites do Departamento de Defesa antes que os hackers consigam fazê-lo.
Ataques não autorizados de hackers têm grande repercussão e podem ter consequências catastróficas para a organização que for vítima do ataque, então muitos recorrem a terceiros para ajudar na segurança além de empregar seus próprios especialistas, oferecendo recompensas financeiras como incentivo.
Este é um negócio potencialmente milionário
No mês passado, o Uber anunciou que também estava se engajando na arena das recompensas por bugs de software, enquanto empresas como Facebook e Microsoft já vêm fazendo isso há anos.
A recompensa máxima oferecida pela Microsoft é atualmente de US$ 100 mil (R$ 360 mil), para "técnicas explorativas realmente inovadoras contra proteções incluídas na última versão de nosso sistema operacional" - ou qualquer coisa que consiga driblar os sistemas de segurança do Windows.
Geralmente um programa de recompensa como esses paga um prêmio baseado na relevância da falha encontrada.
O Facebook até hoje já pagou quase US$ 1 milhão (R$ 3,6 milhões) em recompensas, mas o prêmio médio em 2015 foi de US$ 1.782 (R$ 6.400) por bug. Os caçadores de falhas mais prolíficos vieram da Índia, do Egito e de Trinidad e Tobago, segundo a empresa.
Ataques não autorizados de hackers têm grande repercussão e podem ter consequências catastróficas para a organização que for vítima do ataque, então muitos recorrem a terceiros para ajudar na segurança além de empregar seus próprios especialistas, oferecendo recompensas financeiras como incentivo.
Este é um negócio potencialmente milionário
No mês passado, o Uber anunciou que também estava se engajando na arena das recompensas por bugs de software, enquanto empresas como Facebook e Microsoft já vêm fazendo isso há anos.
A recompensa máxima oferecida pela Microsoft é atualmente de US$ 100 mil (R$ 360 mil), para "técnicas explorativas realmente inovadoras contra proteções incluídas na última versão de nosso sistema operacional" - ou qualquer coisa que consiga driblar os sistemas de segurança do Windows.
Geralmente um programa de recompensa como esses paga um prêmio baseado na relevância da falha encontrada.
O Facebook até hoje já pagou quase US$ 1 milhão (R$ 3,6 milhões) em recompensas, mas o prêmio médio em 2015 foi de US$ 1.782 (R$ 6.400) por bug. Os caçadores de falhas mais prolíficos vieram da Índia, do Egito e de Trinidad e Tobago, segundo a empresa.
Oportunidades de trabalho
"Com recompensas para detecção de bugs, as companhias acabam fazendo com que os melhores hackers analisem seus programas", diz o cientista da computação Gianluca Stringhini, professor-assistente na Universidade College London.
"Quanto mais gente analisar um programa, mais erros elas encontram", comenta. "Essa também é uma forma de as empresas identificarem novos talentos."
Não há dúvida de que se você tiver sucesso como caçador de bugs por conta própria, pode até conseguir um emprego - o especialista em segurança Chris Vickery conseguiu seu trabalho atual fazendo justamente isso.
"Quando encontrei uma das bases de dados da (empresa de software) MacKeeper, eles viraram para mim e disseram: 'Ok, queremos te contratar para nos dar dicas sobre vulnerabilidade de dados'", conta Vickery. "Foi uma resposta incrível."
Tempo livre
O caçador de bugs belga Arne Swinnen é considerado atualmente o número dois no chamado "hall da fama" do Facebook - uma surpreendentemente longa lista de pessoas que ajudaram a garantir mais segurança a diversas plataformas por conseguirem encontrar e compartilhar as vulnerabilidades dessas redes antes dos ataques dos cibercriminosos.
Swinnen tem um emprego tradicional durante o dia, mas somente no tempo livre já acumulou nos últimos meses cerca de U$ 15 mil (R$ 53 mil aproximadamente) encontrando fragilidades em sistemas.
“Alguns bugs eu levei dois dias para detectar; outros, somente cinco minutos. O maior de todos me fez ganhar U$ 2,5 mil (R$ 8,3 mil) e tomou só cinco minutos do meu tempo”, disse.
Ele começou dando uma olhada no Instagram depois de pesquisar bugs na internet e identificar que poucos “caçadores” estavam prestando atenção nessa rede social.
“Eu olhei o que tinha disponível: website, aplicativo para celular, e então vi as funcionalidades e comecei a procurar as vulnerabilidades", explica.
Ele admite que não sua namorada não considera essa a forma ideal de passar o tempo livre, mas pode ser uma estratégia lucrativa.
“É meu hobby, eu gosto de caçar bugs, e é emocionante quando você encontra alguma coisa”, disse ele à BBC.
Do lado certo da lei
Certamente muitas das empresas sem valorizam esse tipo de auxílio em seus programas de segurança. Mas há algumas questões a serem levadas em conta se você planeja caçar bugs nesse ambiente “selvagem” - a primeira delas é que o acesso não autorizado a sistemas é ilegal em muitos países.
“No Reino Unido, a legislação determina que o acesso não autorizado é crime – mesmo que a porta esteja escancarada”, afirma o especialista em cibersegurança Alan Woodward, da Universidade de Surrey.
Wooward também alerta sobre as responsabilidades relacionadas ao tratamento de qualquer dado que você encontre flutuando por aí que talvez não esteja criptografado ou tão seguro como deveria estar.
“Você tem o dever de cuidar (em nome de) quem quer que seja o ‘dono’ daquilo. Alguns hackers acham que estão acima disso, e não estão”, afirma. “É preciso ser cuidadoso, é um campo minado – há uma linha tênue entre investigar vulnerabilidades e o acesso não autorizado”.
No Brasil, o assunto é tratado pela Lei de Crimes Cibernéticos, que considera crime "invadir dispositivo informático alheio (...) para obter, adulterar ou destruir dados sem autorização expressa ou tácita do titular do dispositivo".
Sempre alerta
O tema também é um campo minado para empresas, especialmente pequenos negócios, que podem não ter nem a expertise, nem os recursos para administrar esse exército global de chapéus brancos – e os hackers que os seguem.
“Geralmente o problema ocorre quando uma pessoa desenvolve um programa e espera que o usuário mexa nele de maneira correta. Mas um cibercriminoso pode apresentar uma novidade que ninguém pensou e que faz o programa rodar de uma forma completamente diferente”, diz Gianluca Stringhini.
O conselho básico dele para todas as empresas é simples: “Fique atento às notícias, veja que tipo de novos ataques estão sendo feitos, certifique-se de que quando uma nova vulnerabilidade for descoberta, você atualize o sistema – e fique de olho em qualquer atividade estranha”.
Fonte: BBC