Segurança é algo que deveria ser palavra de ordem para qualquer empresa, mas esse tema se acentua em setores que lidam mais diretamente com dados sensíveis de usuários, como é o caso de companhias de tecnologia e bancos. Isso faz com que essas empresas desenvolvam programas de recompensas que premiam pessoas de fora que ajudem a encontrar falhas graves em sistemas críticos.
Isso se tornou prática comum entre grandes empresas de tecnologia, que chegam a pagar em alguns casos quantias milionárias para quem encontrar uma vulnerabilidade séria. Companhias como Apple, Google e Facebook, por exemplo, prometem valores altos para quem tiver informações sobre este assunto.
Autoproteção
Falhas de segurança em sistemas muito populares valem muito dinheiro. Imagine uma brecha em algo como um Android, por exemplo, usado por bilhões de pessoas ao redor do mundo; agora imagine que, graças a essa falha, é possível que um malware se replique de um celular para outro sem depender de interação direta entre as vítimas. O estrago seria gigantesco, não?
Essa falha é fictícia, mas supondo que alguém descobrisse alguma coisa similar, ele teria em suas mãos uma informação de ouro. Esse tipo de vulnerabilidade grave em um sistema muito usado pode dar início a grandes ciberataques, e existem incontáveis grupos que estão interessados e dispostos a pagar muito dinheiro por esse conhecimento.
Não falamos aqui apenas do cibercrime convencional, que busca atacar suas vítimas visando extorqui-las de alguma forma ou obter informações pessoais ou bancárias para obter algum ganho financeiro. Esse tipo de informação também interessa muito a agências governamentais de ciberespionagem, como é o caso da NSA (Agência de Segurança Nacional dos EUA) e outros órgãos similares. Basta lembrar que o WannaCry, que atingiu centenas de milhares de computadores em 2017, foi resultado de uma vulnerabilidade no Windows chamada de EternalBlue, e que era conhecida pela NSA, mas que acabou vazando e virou conhecimento público.
Por este motivo, um hacker que encontra uma vulnerabilidade grave pode obter muito dinheiro com essa informação. Para as empresas responsáveis por essa brecha, isso é obviamente um problema. Imagine o tamanho da mancha na reputação da Apple se descobrem uma brecha no iOS que permite interceptar tudo que seus usuários digitam no iPhone? Agora calcule o prejuízo financeiro de indenizar clientes, dedicar força de trabalho para corrigir o problema enquanto ele afeta pessoas e perder a confiança do público, que pode vir a resultar em queda de vendas.
Por esse motivo, empresas acabam “competindo” com o mercado “alternativo” e oferecendo quantias a hackers que reportem essas falhas diretamente para os responsáveis por corrigi-la. É uma forma de incentivar e recompensar um comportamento que favorece a companhia e seus clientes, que ganham acesso a um produto mais seguro, e que pode evitar um prejuízo gigantesco.
Não é qualquer bug
Muitos leitores costumam entrar em contato com o Olhar Digital relatando alguns bugs que encontraram em serviços comuns como, por exemplo, o Gmail, que pode ter um botão que não funciona direto. Não é esse tipo de informação que as empresas buscam nestes programas de recompensas.
O Google possui hoje pelo menos seis programas distintos de recompensas para quem descobrir vulnerabilidades em seus produtos, cada um deles com suas próprias regras, voltadas para alguma plataforma específica. A maior recompensa prevista nos regulamentos é para quem conseguir furar a segurança do Android nos aparelhos da linha Pixel, chegando a um máximo de US$ 200 mil (ou cerca de R$ 800 mil na cotação atual).
Nem todas as falhas conquistarão essa recompensa máxima, no entanto. O Google tem algumas regras claras para definir quem tem direito ao valor máximo:
- a falha deve ser considerada “crítica”;
- o relato deve ser de “alta qualidade”, contendo o máximo de detalhes possíveis;
- o hacker deve enviar provas de conceito da falha, um patch de correção e um teste CTS de compatibilidade
Uma falha crítica, na visão do Google neste caso, é definida pelos seguintes critérios:
- execução de código arbitrário no TEE
- execução de código arbitrário em um processo privilegiado, no bootloader ou no TCB
- negação de serviço permanente e remota (fazendo o dispositivo completamente inoperável permanentemente ou requerendo fazer o flash do sistema operacional completo)
- instalação de pacotes remotos ou equivalente sem depender de interação do usuário
- modificações de configurações de segurança ou de desenvolvedor remotas sem depender de interação do usuário
- driblar remotamente o Secure Boot do sistema
Os critérios são, portanto, mirando falhas que permitam atingir o núcleo do sistema operacional e do celular, permitindo que um cibercriminoso ganhe controle sobre processos fundamentais do dispositivo, obtendo controle total da informação que nele é armazenada e processada.
A Apple vai um pouco além e topa pagar até US$ 1 milhão (cerca de R$ 4 milhões) por informações sobre vulnerabilidades em seus sistemas. A empresa recentemente repaginou seu programa de recompensas, de forma a abranger mais produtos. A companhia também paga um bônus de 50% se a falha foi descoberta em um software em fase pré-lançamento, então o valor pode chegar a US$ 1,5 milhão (R$ 6 milhões).
Como o Google, a Apple dedica o prêmio máximo para quem reportar vulnerabilidades gravíssimas. O valor que entra na casa do milhão é destinado exclusivamente a quem encontrar um tipo específico de falha, que permite execução de código no kernel (o núcleo) do sistema sem precisar de interação do usuário. Um outro tipo de vulnerabilidade potencialmente rentável envolve conseguir acesso a dados de alto valor de usuários com “zero-click”, como são conhecidos os ataques que não dependem de uma pessoa ser enganada a instalar sem querer alguma coisa que forneça acesso aos cibercriminosos.
Microsoft e Facebook são outros exemplos de empresas que possuem seus programas para pesquisadores de segurança. No caso da empresa do Windows, há 13 programas de recompensas abertos abrangendo vários serviços, sendo o mais recompensador o que está relacionado ao Azure, a plataforma de computação em nuvem, e que pode pagar até US$ 300 mil (cerca de R$ 1,2 milhão) por uma falha de segurança grave.
Ética
As empresas que realizam esse tipo de ação lidam com o que é chamado de hacker “white hat”, expressão que define o especialista em segurança que visa usar seus conhecimentos para o “bem”, e não para atividades criminosas. Há uma série de questões éticas às quais os participantes desses programas devem aderir para estarem aptos a receber suas recompensas.
Ao enviar esse material para a empresa, o hacker precisa, antes de tudo, aceitar não expor essa informação publicamente por um prazo pré-determinado. O Google, por exemplo, pede 90 dias para que um especialista divulgue a vulnerabilidade para ter tempo de corrigi-la e lançar essa correção para seus usuários. Desta forma, quando a informação se tornar de conhecimento público, as vítimas potenciais já estão protegidas, e o hacker pode receber reconhecimento pela descoberta sem expor ninguém a riscos.
É importante notar que cada empresa possui seus prazos próprios, e isso às vezes traz problemas. O Google possui uma área chamada Project Zero, que busca falhas de segurança em produtos de outras empresas, como o Windows, por exemplo, para reportar aos responsáveis. Mais de uma vez, no entanto, os especialistas do Project Zero divulgaram vulnerabilidades em sistemas da Microsoft antes de elas serem devidamente corrigidas. Isso acontece porque a Microsoft pedia mais tempo, enquanto a cultura do Google determina apenas 90 dias para lidar com o problema.
As empresas também pedem que os caçadores de recompensa que obtiverem sucesso em encontrar uma falha de segurança em seus sistemas se abstenham de acessar indevidamente dados de clientes que tenham encontrado em virtude do ataque.
“Algumas pesquisas de segurança podem acontecer em serviços que nossos clientes usam e dos quais eles dependem. Faça o melhor para evitar pesquisas que violam a privacidade do consumidor, destroem dados ou causem interrupção de serviço. Se você descobrir dados de clientes durante sua pesquisa, ou se não está claro se é seguro continuar, por favor, pare imediatamente e nos contate para que possamos tomar ações imediatas para resolver essa questão e proteger nossos clientes”, explica a página do programa de recompensas da Microsoft.
Da mesma forma, o Facebook também pede para que os pesquisadores evitem acessar dados de usuários e, mais importante de tudo, que jamais explorem o problema de segurança por nenhum motivo. “Isso inclui demonstrar riscos adicionais, como a tentativa de comprometer a confidencialidade dos dados da empresa ou procurar problemas adicionais”, diz a página do programa.
E, claro, o hacker não pode repassar as informações descobertas por ele para outras organizações que possam vir a ter interesse nessas brechas por motivos ocultos.