IT Forum 365
Compra de falhas e brechas de segurança ganha profissionalização

Compra de falhas e brechas de segurança ganha profissionalização

Um mercado nascido da segurança da informação ganha ares cada vez mais profissionais e estruturados: trata-se do serviço de “compra de falhas” e brechas de sistemas, produtos e endereços online –  transações ora usadas para avisar os fornecedores sobre falhas em seus produtos, ora para realizar cibercrimes. A informação é do Relatório Anual de Cibersegurança, edição 2016, elaborado pela Hewlett Packard Enterprise. O documento pode ser baixado em http://www8.hp.com/us/en/software-solutions/cyber-risk-report-security-vulnerability/.


As iniciativas que visam a premiar pesquisadores que apontarem brechas existem há mais de duas décadas – em 1995, a Netscape criou um projeto do tipo, que incentivava profissionais independentes a acharem falhas em seu código. O episódio cunhou o nome ”bug bounties”, ou recompensas de bugs.


Com o crescimento da importância da segurança da informação e o perfil cada vez mais agressivo – e caro – dos ciberataques, a atividade foi estruturada em diversos programas, com escopos e objetivos diferentes, e atualmente envolve grandes empresas, como United Airlines, Tesla, Google e Mozilla Firefox. “Engajar a comunidade resulta no aviso de bugs de alto valor que o fabricante talvez nunca conhecesse ou que só tomaria contato se fosse atacado”, pontua o relatório.


Entenda como funciona o mercado de compra e venda de “insegurança” da informação:

  • Mercado branco: há iniciativas formais para caça de bugs (como ZDI, HackerOne e Bugcrowd) e torneios, com prêmios de até US$ 150 mil (os mais conhecidos são Pwn2Own e GeekPwn). Outra via é a comunicação direta com o fabricante da solução com falha – um exemplo é o Facebook, que pagou US$ 12.500 ao pesquisador Arul Kumar após reporte de bug.

  • Mercado cinza: Pesquisador vende informações sobre falha que ele descobriu para uma entidade privada, que pode ou não garantir que o dado será usado para fins éticos.

  • Mercado negro: Funciona como um leilão, onde o descobridor da brecha vende o registro para quem pagar mais. Essas partes interessadas normalmente estão ligadas a grupos criminosos e podem usar a aquisição para perpetrar ciberataques ou espionar empresas e indivíduos.

Por fim, o relatório também menciona casos em que as brechas foram comunicadas ao público, sem o aval da fabricante. Caso semelhante aconteceu com a empresa Gibson Security, que publicou documentos internos do código do Snapchat que apontavam duas falhas que permitiam, entre outras coisas, a criação em massa de contas falsas.


Saiba mais:

Monitoramento combinável une melhores soluções em interface única

Conheça cinco competências essenciais para os CIOs

Dark data: risco e alto custo para as empresas

Comentários

Notícias Relacionadas

IT Mídia S.A.

Copyright 2016 IT Mídia S.A. Todos os direitos reservados.