Todos os posts tagados bounty

Programa responsável de divulgação de vulnerabilidades

Créditos da foto: securitybsides.com

Um programa responsável de divulgação de vulnerabilidades passa por criar uma secção onde os utilizadores, particularmente da área da segurança de informação, possam enviar possíveis falhas de segurança em software. Essa comunicação é feita diretamente sem qualquer divulgação pública, para que deste modo, as entidades visadas possam corrigir a falha em segurança sem qualquer perigo de ser explorada. Logo que a vulnerabilidade esteja corrigida, o autor é recompensado e poderá, na maioria dos casos, divulgar com algum detalhe essa falha.
Na minha opinião, é uma forma de aproximar os profissionais e entusiastas de infosec com as empresas. As empresas por outro lado, têm a oportunidade de proteger os seus clientes de uma forma mais barata e segura. Mesmo que tenham um departamento de segurança, por vezes um outsider consegue pensar fora-da-caixa e encontrar algo que escapou às auditorias.

Um bom exemplo deste tipo de programas é o do Google. Na página do programa é possível ver as limitações e as regras a aplicar aos participantes.
Sem dúvida um bom exemplo a qualquer empresa que queira seguir e iniciar este tipo de programa.

Só para referência, recentemente um utilizador ganhou $5000 por ter encontrado uma falha XSS na página de administração do Google Apps.

São muitas as empresas que optam por estabelecer programas responsáveis de divulgação de vulnerabilidades.
Vou apenas referir apenas algumas, no entanto poderão consultar uma lista completa e atualizada no Bugcrowd:

Google
Microsoft
Yahoo!
Twitter
Facebook
PayPal
Dropbox
Pinterest
Apple
eBay

As recompensas vão desde dinheiro, swag ou mesmo à referência numa lista Hall of Fame.

Estive à conversa com o Tiago Henriques – CEO da BinaryEdge – e falámos um pouco sobre este tema:

Qual é a tua opinião sobre os programas responsáveis de divulgação de vulnerabilidades?

Acho que este tipo de programas é bastante bom quando feito corretamente. Um bom exemplo na minha opiniao é o do Google Project Zero, no qual existe um tempo limite (90 dias) em que os vendors têm que produzir e dar release de um patch pois o Google liberta os detalhes dessa vulnerabilidade para o mundo. Existem pessoas que criticaram a Google pois eles deram release de umas vulnerabilidades do Windows antes da Microsoft ter o patch pronto, mas na minha opinião se uma entidade nao consegue produzir um patch e testar em 90 dias algo está errado com o seu ciclo de desenvolvimento de software.

Achas que em Portugal existe abertura para este tipo de programas?

Acho complicado. Conseguia ver o SAPO por exemplo a arrancar com um programa destes mas não muitas mais empresas. Em Portugal ainda se tem muito medo deste tipo de programas e uma mentalidade muito fechada para estas coisas. Não esquecendo que ter um bug bounty envolve ter que pagar uma recompensa, o que significa um custo adicional, com as condições económicas em Portugal de momento, acho muito complicado. Lembro-me também perfeitamente à coisa de 2 anos atrás estar numa conferência em Portugal na qual ouvi um responsável de segurança dizer “Se alguem faz um portscan que seja a um dos meus ips espero que alguma accao legal seja realizada” este tipo de mindset ainda é muito antiquado e não corresponde à realidade em que nos encontramos.

Que tipo de empresas ou organizações em Portugal estariam dispostas aderir a este tipo de programa?

Como mencionado anteriormente na minha opinião: SAPO, uma empresa que considero espetacular em Portugal e com uma excelente equipa de segurança, alguma da malta mais competente e inteligente com quem já tive o prazer de colaborar. Outra empresa que também tem um espirito jovem e que acho que poderiam ter algo é a Blip.

Existem diversos casos de portugueses que já entraram em programas no estrangeiro [Google, Yahoo!, Microsoft, etc] e alguns até ganharam uns euros. Este tipo de iniciativa poderá ser uma porta de entrada para uma oportunidade de emprego?

Oportunidade de emprego nao digo. Eu pessoalmente já participei em bug bounties (via Bugcrowd e Prezi) e já tive dias, em que, em 40 minutos, fiz perto de $2500, como tive 1 mês em que fiz $300. Nao é fixo. Tem que se entrar nas bounties cedo, apontar logo para sitios especificos onde normalmente todas as apps caem (isto vem com a experiência), e conseguir ser dos primeiros a reportar. Portanto substituir um emprego não, mas trazer mais uns trocos para casa isso sim, definitivamente.
Caso encontres uma vulnerabilidade, ou participes em programa de bug hunting acho que é sempre um boost no teu CV, que te dá uma vantagem (grande) vs outros potenciais candidatos. A coisa boa é que é uma forma boa, grátis e LEGAL de ganhares experiência em segurança enquanto também fazes uns trocos. Para a malta dos Anonymous e Lulzsec etc em Portugal digo “Não percam tempo a fazer DDoS, foquem-se neste tipo de programas, no futuro irá ajudar-vos bastante.”

Achas que é um dever cívico se um utilizador encontrar uma falha de segurança num site e divulgá-lo à entidade responsável?

Ui… Depende. Se for em algo como um dispositivo médico, ou algo que possa por em perigo vida de pessoas (infrastruturas criticas ligadas a internet, como redes electricas e de água ou gás que estejam expostas) aí sim, acho que se deve avisar logo e corretamente. Agora se for umas entidades que não são críticas, acho que não se deve fazer absolutamente nada. Falo por mim. Se encontrar uma vulnerabilidade num router ou numa framework ou em algum software que seja usado mais wild, vou primeiro a um programa como a ZDI para o tentar vender e só depois se vir que não sai nada daí é que reporto à entidade responsável. Mas acho que é importante notar-se que não tem só haver com o “se reportar” ou não. É importante depois de se reportar, apontar os timelines e avisar a entidade que ao fim de X dias iremos tornar a vulnerabilidade pública, de forma a obrigar que essa entidade não fique parada.

Realmente o Tiago tem razão, no aspeto de estabelecer um timeline para que a falha seja corrigida. Recordo-me que uma vulnerabilidade DOM XSS que encontrei no Tripadvisor demorou cerca de 1 ano para ter correção e inumeros contatos. Empresas com esta dimensão deveriam ter uma resposta mais rápida a este tipo de situações.

Seria interessante que este artigo servisse de inspiração a alguma empresa portuguesa em criar este tipo de programa. Nós no WebSegura.net teríamos todo o gosto em partilhá-lo com os nossos leitores.