Ciência/Tecnologia
O governo dos EUA oferecem recompensas a
caçadores que encontrem bugs em alguns sistemas
Se você é um especialista
em informática e está interessado em ganhar milhares de dólares do conforto de
sua casa, algumas iniciativas de várias companhias tecnológicas e governos
podem te interessar.
Neste
mês o governo dos Estados Unidos anunciou a abertura, pela primeira vez, de um
programa para "caçadores" de erros de software (os chamados "bug
hunters", em inglês), oferecendo uma recompensa de US$ 150 mil (cerca de
R$ 540 mil) para quem conseguir detectar falhas nos sites do Departamento de
Defesa antes que os hackers consigam fazê-lo.
Ataques
não autorizados de hackers têm grande repercussão e podem ter consequências
catastróficas para a organização que for vítima do ataque, então muitos
recorrem a terceiros para ajudar na segurança além de empregar seus próprios
especialistas, oferecendo recompensas financeiras como incentivo.
Este
é um negócio potencialmente milionário.
No
mês passado, o Uber anunciou que também estava se engajando na arena das
recompensas por bugs de software, enquanto empresas como Facebook e Microsoft
já vêm fazendo isso há anos.
A
recompensa máxima oferecida pela Microsoft é atualmente de US$ 100 mil (R$ 360
mil), para "técnicas de exploração realmente inovadoras contra proteções
incluídas na última versão de nosso sistema operacional" - ou qualquer
coisa que consiga driblar os sistemas de segurança do Windows.
Geralmente
um programa de recompensa como esses paga um prêmio baseado na relevância da
falha encontrada.
O
Facebook até hoje já pagou quase US$ 1 milhão (R$ 3,6 milhões) em recompensas,
mas o prêmio médio em 2015 foi de US$ 1.782 (R$ 6.400) por bug. Os caçadores de
falhas mais prolíficos vieram da Índia, do Egito e de Trinidad e Tobago,
segundo a empresa.
Oportunidades de trabalho
"Com
recompensas para detecção de bugs, as companhias acabam fazendo com que os
melhores hackers analisem seus programas", diz o cientista da computação
Gianluca Stringhini, professor-assistente na Universidade College London.
"Quanto
mais gente analisar um programa, mais erros elas encontram", comenta.
"Essa também é uma forma de as empresas identificarem novos
talentos."
Não
há dúvida de que se você tiver sucesso como caçador de bugs por conta própria,
pode até conseguir um emprego - o especialista em segurança Chris Vickery
conseguiu seu trabalho atual fazendo justamente isso.
"Quando
encontrei uma das bases de dados da (empresa de software) MacKeeper, eles
viraram para mim e disseram: 'Ok, queremos te contratar para nos dar dicas
sobre vulnerabilidade de dados'", conta Vickery. "Foi uma resposta
incrível."
Tempo livre
O
caçador de bugs belga Arne Swinnen é considerado atualmente o número dois no
chamado "hall da fama" do Facebook - uma surpreendentemente longa
lista de pessoas que ajudaram a garantir mais segurança a diversas plataformas
por conseguirem encontrar e compartilhar as vulnerabilidades dessas redes antes
dos ataques dos ‘ciber’ criminosos.
Swinnen
tem um emprego tradicional durante o dia, mas somente no tempo livre já
acumulou nos últimos meses cerca de U$ 15 mil (R$ 53 mil aproximadamente) encontrando
fragilidades em sistemas.
“Alguns
bugs eu levei dois dias para detectar; outros, somente cinco minutos. O maior
de todos me fez ganhar U$ 2,5 mil (R$ 8,3 mil) e tomou só cinco minutos do meu
tempo”, disse.
Ele
começou dando uma olhada no Instagram depois de pesquisar bugs na internet e
identificar que poucos “caçadores” estavam prestando atenção nessa rede social.
“Eu
olhei o que tinha disponível: website, aplicativo para celular, e então vi as
funcionalidades e comecei a procurar as vulnerabilidades", explica.
Ele
admite que não sua namorada não considera essa a forma ideal de passar o tempo
livre, mas pode ser uma estratégia lucrativa.
“É
meu hobby, eu gosto de caçar bugs, e é emocionante quando você encontra alguma
coisa”, disse ele à BBC.
Do lado certo da lei
Certamente
muitas das empresas sem valorizam esse tipo de auxílio em seus programas de
segurança. Mas há algumas questões a serem levadas em conta se você planeja
caçar bugs nesse ambiente “selvagem” - a primeira delas é que o acesso não autorizado
a sistemas é ilegal em muitos países.
“No
Reino Unido, a legislação determina que o acesso não autorizado é crime – mesmo
que a porta esteja escancarada”, afirma o especialista em ‘ciber’ segurança
Alan Woodward, da Universidade de Surrey.
Wooward
também alerta sobre as responsabilidades relacionadas ao tratamento de qualquer
dado que você encontre flutuando por aí que talvez não esteja criptografado ou
tão seguro como deveria estar.
“Você
tem o dever de cuidar (em nome de) quem quer que seja o ‘dono’ daquilo. Alguns
hackers acham que estão acima disso, e não estão”, afirma. “É preciso ser
cuidadoso, é um campo minado – há uma linha tênue entre investigar
vulnerabilidades e o acesso não autorizado”.
No
Brasil, o assunto é tratado pela Lei de Crimes Cibernéticos, que considera
crime "invadir dispositivo informático alheio (...) para obter, adulterar
ou destruir dados sem autorização expressa ou tácita do titular do
dispositivo".
Sempre alerta
O
tema também é um campo minado para empresas, especialmente pequenos negócios,
que podem não ter nem a expertise, nem os recursos para administrar esse
exército global de chapéus brancos – e os hackers que os seguem.
“Geralmente
o problema ocorre quando uma pessoa desenvolve um programa e espera que o
usuário mexa nele de maneira correta. Mas um ‘ciber’ criminoso pode apresentar
uma novidade que ninguém pensou e que faz o programa rodar de uma forma
completamente diferente”, diz Gianluca Stringhini.
O
conselho básico dele para todas as empresas é simples: “Fique atento às
notícias, veja que tipo de novos ataques estão sendo feitos, certifique-se de
que quando uma nova vulnerabilidade for descoberta, você atualize o sistema – e
fique de olho em qualquer atividade estranha”.
Nenhum comentário:
Postar um comentário