Programa de recompensa de bug - Bug bounty program

Um programa de recompensa por bug é um negócio oferecido por muitos sites, organizações e desenvolvedores de software pelo qual os indivíduos podem receber reconhecimento e compensação por relatar bugs , especialmente aqueles pertencentes a explorações de segurança e vulnerabilidades .

Esses programas permitem que os desenvolvedores descubram e resolvam bugs antes que o público em geral os conheça, evitando incidentes de abuso generalizado. Programas de recompensa por bugs foram implementados por um grande número de organizações, incluindo Mozilla , Facebook , Yahoo! , Google , Reddit , Square , Microsoft e a recompensa por bugs da Internet.

Empresas fora do setor de tecnologia, incluindo organizações tradicionalmente conservadoras como o Departamento de Defesa dos Estados Unidos , começaram a usar programas de recompensa de insetos. O uso de programas de recompensa por bugs pelo Pentágono é parte de uma mudança de postura que viu várias agências governamentais dos EUA reverterem o curso da ameaça de hackers de chapéu branco com recurso legal para convidá-los a participar como parte de uma estrutura ou política abrangente de divulgação de vulnerabilidade.

História

Hunter e Ready iniciaram o primeiro programa de recompensa por bug conhecido em 1983 para seu sistema operacional Versatile Real-Time Executive . Qualquer pessoa que encontrasse e relatasse um bug receberia um Volkswagen Beetle ( também conhecido como Bug) em troca.

Um pouco mais de uma década depois, em 1995, Jarrett Ridlinghafer, um engenheiro de suporte técnico da Netscape Communications Corporation cunhou a frase 'Bug Bounty'.

A Netscape incentivou seus funcionários a se esforçarem e fazerem o que for preciso para fazer o trabalho. Ridlinghafer reconheceu que a Netscape tinha muitos entusiastas de produtos e evangelistas, alguns dos quais podiam até ser considerados fanáticos pelos navegadores da Netscape. Ele começou a investigar o fenômeno com mais detalhes e descobriu que muitos dos entusiastas da Netscape eram, na verdade, engenheiros de software que corrigiam os bugs do produto por conta própria e publicavam as correções ou soluções alternativas, seja em fóruns de notícias on-line criados pelo suporte técnico da Netscape departamento, ou no site não oficial "Netscape U-FAQ", que listava todos os bugs e recursos conhecidos do navegador, bem como instruções sobre soluções alternativas e correções.

Ridlinghafer achava que a empresa deveria alavancar esses recursos e propôs o 'Programa Netscape Bugs Bounty', que apresentou ao seu gerente, que por sua vez sugeriu que Ridlinghafer o apresentasse na próxima reunião da equipe executiva da empresa. Na próxima reunião da equipe executiva, que contou com a presença de James Barksdale , Marc Andreessen e os vice-presidentes de todos os departamentos, incluindo engenharia de produto, cada membro recebeu uma cópia da proposta do 'Programa Netscape Bugs Bounty' e Ridlinghafer foi convidado a apresentar sua ideia para a Equipe Executiva da Netscape. Todos na reunião abraçaram a ideia, exceto o vice-presidente de engenharia, que não queria que ela continuasse acreditando ser uma perda de tempo e recursos. No entanto, o VP de Engenharia foi rejeitado e Ridlinghafer recebeu um orçamento inicial de $ 50.000 para executar com a proposta.

Em 10 de outubro de 1995, a Netscape lançou o primeiro programa de recompensa por bug de tecnologia para o navegador Netscape Navigator 2.0 Beta.

Polêmica da política de divulgação de vulnerabilidade

Em agosto de 2013, um estudante palestino de ciência da computação relatou uma vulnerabilidade que permitia a qualquer pessoa postar um vídeo em uma conta arbitrária do Facebook. De acordo com a comunicação por e-mail entre o aluno e o Facebook, ele tentou relatar a vulnerabilidade usando o programa de recompensa de bugs do Facebook, mas o aluno foi mal interpretado pelos engenheiros do Facebook. Mais tarde, ele explorou a vulnerabilidade usando o perfil do Facebook de Mark Zuckerberg , resultando na recusa do Facebook a lhe pagar uma recompensa.

Um cartão de débito "White Hat" do Facebook, dado a pesquisadores que relataram bugs de segurança

O Facebook começou a pagar aos pesquisadores que encontram e relatam bugs de segurança, emitindo-lhes cartões de débito "White Hat" personalizados que podem ser recarregados com fundos cada vez que os pesquisadores descobrem novas falhas. “Pesquisadores que encontram bugs e melhorias de segurança são raros, e nós os valorizamos e temos que encontrar maneiras de recompensá-los”, disse Ryan McGeehan, ex-gerente da equipe de resposta de segurança do Facebook, em uma entrevista à CNET . “Ter esse cartão preto exclusivo é outra forma de reconhecê-los. Eles podem aparecer em uma conferência e mostrar esse cartão e dizer 'Fiz um trabalho especial para o Facebook'.” Em 2014, o Facebook parou de emitir cartões de débito para pesquisadores.

Em 2016, o Uber passou por um incidente de segurança quando um indivíduo acessou as informações pessoais de 57 milhões de usuários do Uber em todo o mundo. O indivíduo supostamente exigiu um resgate de $ 100.000 para destruir em vez de publicar os dados. Em depoimento no Congresso, o Uber CISO indicou que a empresa verificou que os dados foram destruídos antes de pagar os $ 100.000. O Sr. Flynn lamentou que o Uber não tenha divulgado o incidente em 2016. Como parte de sua resposta a este incidente, o Uber trabalhou com o parceiro HackerOne para atualizar as políticas do programa de recompensa de bugs para, entre outras coisas, explicar mais detalhadamente a pesquisa de vulnerabilidade de boa fé e divulgação.

Yahoo! foi severamente criticado por enviar o Yahoo! Camisetas como recompensa aos Pesquisadores de Segurança por encontrar e relatar vulnerabilidades de segurança no Yahoo !, gerando o que veio a ser chamado de T-shirt-gate . High-Tech Bridge , uma empresa de testes de segurança sediada em Genebra, na Suíça, publicou um comunicado à imprensa dizendo que o Yahoo! ofereceu US $ 12,50 em crédito por vulnerabilidade, que poderia ser usado em itens com a marca Yahoo, como camisetas, xícaras e canetas de sua loja. Ramses Martinez, diretor da equipe de segurança do Yahoo afirmou mais tarde em um blog que estava por trás do programa de recompensa de vouchers e que basicamente estava pagando por eles do próprio bolso. Eventualmente, o Yahoo! lançou seu novo programa de recompensa por bug em 31 de outubro do mesmo ano, que permite aos pesquisadores de segurança enviar bugs e receber recompensas entre US $ 250 e US $ 15.000, dependendo da gravidade do bug descoberto.

Da mesma forma, quando a Ecava lançou o primeiro programa de recompensa por bug conhecido para ICS em 2013, eles foram criticados por oferecer créditos à loja em vez de dinheiro, o que não incentiva os pesquisadores de segurança. Ecava explicou que o programa pretendia ser inicialmente restritivo e focado na perspectiva da segurança humana para os usuários do IntegraXor SCADA , seu software ICS.

Geografia

Embora os envios para recompensas por bugs venham de muitos países, alguns países tendem a enviar mais bugs e receber mais recompensas. Os Estados Unidos e a Índia são os principais países de onde os pesquisadores enviam bugs. A Índia, que tem o primeiro ou o segundo maior número de caçadores de bugs do mundo, dependendo de qual relatório citar, liderou o Programa de Recompensa de Bugs do Facebook com o maior número de bugs válidos. "A Índia saiu na frente com o número de inscrições válidas em 2017, com Estados Unidos e Trinidad e Tobago em segundo e terceiro lugares, respectivamente", citou o Facebook em um post.

Programas notáveis

Em outubro de 2013, o Google anunciou uma grande mudança em seu Programa de Recompensa de Vulnerabilidade. Anteriormente, era um programa de recompensa por bug que abrangia muitos produtos do Google. Com a mudança, no entanto, o programa foi ampliado para incluir uma seleção de aplicativos e bibliotecas de software livre de alto risco , principalmente aqueles projetados para rede ou para funcionalidade de sistema operacional de baixo nível . Os envios que o Google considerou aderentes às diretrizes seriam qualificados para recompensas que variam de US $ 500 a US $ 3.133,70. Em 2017, o Google expandiu seu programa para cobrir vulnerabilidades encontradas em aplicativos desenvolvidos por terceiros e disponibilizados por meio da Google Play Store. O Vulnerability Rewards Program do Google agora inclui vulnerabilidades encontradas nos produtos Google, Google Cloud, Android e Chrome e recompensas de até US $ 31.337.

A Microsoft e o Facebook fizeram uma parceria em novembro de 2013 para patrocinar o The Internet Bug Bounty, um programa que oferece recompensas por relatar hacks e exploits para uma ampla gama de software relacionado à Internet. Em 2017, o GitHub e a Fundação Ford patrocinaram a iniciativa, que é gerenciada por voluntários da Uber, Microsoft, Facebook, Adobe, HackerOne, GitHub, NCC Group e Signal Sciences. O software coberto pelo IBB inclui Adobe Flash , Python , Ruby , PHP , Django , Ruby on Rails , Perl , OpenSSL , Nginx , Apache HTTP Server e Phabricator . Além disso, o programa oferece recompensas por explorações mais amplas que afetam sistemas operacionais e navegadores da web amplamente usados , bem como a Internet como um todo.

Em março de 2016, Peter Cook anunciou o primeiro programa de recompensa por insetos do governo federal dos EUA, o programa "Hack the Pentagon". O programa foi executado de 18 de abril a 12 de maio e mais de 1.400 pessoas enviaram 138 relatórios válidos exclusivos por meio do HackerOne . No total, o Departamento de Defesa dos Estados Unidos pagou US $ 71.200.

Em 2019, a Comissão Europeia anunciou a iniciativa de recompensa por bug EU-FOSSA 2 para projetos de código aberto populares , incluindo Drupal , Apache Tomcat , VLC , 7-zip e KeePass . O projeto foi co-facilitado pela plataforma europeia de recompensa por bug Intigriti e HackerOne e resultou em um total de 195 vulnerabilidades únicas e válidas.

O Open Bug Bounty é um programa de recompensa por bug de segurança criado em 2014 que permite que indivíduos postem vulnerabilidades de segurança de sites e aplicativos da web na esperança de uma recompensa dos operadores de sites afetados.

Veja também

Referências