Ao longo dos anos, encontrar bugs em softwares, aplicativos e serviços on-line populares tornou-se um empreendimento lucrativo para hackers empreendedores. Na verdade, alguns desses hackers e pesquisadores de segurança até se tornaram milionários graças ao programas de recompensa de bug. Além de ser pago para descobrir vulnerabilidades, seu trabalho ajuda algumas das maiores empresas do mundo a melhorar a segurança de seus produtos para proteger melhor seus usuários.
A plataforma de recompensa de insetos HackerOne ajuda a conectar essas empresas com hackers éticos em todo o mundo. Para saber mais sobre como a empresa começou e os vários erros que sua comunidade descobriu ao longo dos anos, TechRadar Pro falou com HackerOne CTO Alex Rice.
O que levou à criação do HackerOne em 2012?
Organizações de todas as formas e tamanhos agora estão usando segurança orientada por hackers, mas nem sempre foi assim.
Antes do HackerOne, eu era chefe de segurança de produto do Facebook. Uma das coisas mais eficazes que fizemos foi dizer aos hackers: “Queremos sua ajuda. Encontre um bug, encontre uma vulnerabilidade, informe-nos e nós o recompensaremos.” O programa pagou mais de US $ 10 milhões e melhorou a segurança do produto mais do que qualquer um poderia ter imaginado.
Avançando para os dias de hoje, o HackerOne é a plataforma de segurança dirigida por hackers de maior sucesso do mundo. Mais de 2.000 organizações fizeram parceria com a comunidade de hackers para descobrir mais de 181.000 vulnerabilidades verificadas. Esses hackers foram recompensados com mais de US $ 100 milhões por tornar a Internet um lugar mais seguro.
Como sua experiência como engenheiro de segurança e pesquisador influenciou seu trabalho hoje como CTO da HackerOne?
Na HackerOne, sou responsável por desenvolver nossa visão de tecnologia, direcionar esforços de engenharia e aconselhar clientes enquanto eles criam programas de segurança de classe mundial. Estou motivado acima de tudo pela crença de que a tecnologia pode melhorar nossas vidas. Mas desafios fundamentais com segurança e privacidade muitas vezes nos impedem. Precisamos de tecnologia confiável, e minha experiência como pesquisador individual me ensinou que nunca chegaremos lá sozinhos. Precisamos de milhões de nós para trabalharmos juntos, revelando as lições aprendidas e pressionando cada um de nós a fazer melhor.
Que impacto você acha que sua plataforma teve na forma como as vulnerabilidades são identificadas e relatadas?
No HackerOne, fazemos parceria com a comunidade global de hackers para garantir que as organizações estejam cientes de quaisquer problemas de segurança antes que os criminosos possam explorá-los. A incrível criatividade, diversidade e persistência encontradas nesta comunidade única garantem que as organizações sejam muito mais seguras do que estariam sozinhas e que as pessoas que dependem delas estejam mais seguras.
Também temos diferentes programas e opções à disposição dos clientes, garantindo que tenham o melhor suporte possível, quando precisam. É importante que as empresas não estejam apenas cientes de onde estão os riscos, mas que as vulnerabilidades possam ser gerenciadas e corrigidas. No HackerOne, os clientes podem optar por uma variedade de soluções disponíveis em pentesting, para recompensas de bugs públicos e privados e, mais importante, programas de divulgação de vulnerabilidades.
Você pode nos contar mais sobre o banco de dados de vulnerabilidades de sua empresa e como você controla todos os bugs enviados por pesquisadores de segurança?
Mantemos o maior e mais confiável banco de dados de vulnerabilidades do setor e nosso programa de recompensas incentiva nossa comunidade de hackers a identificar e enviar relatórios de vulnerabilidade sobre tudo, desde sites, APIs, aplicativos móveis, dispositivos de hardware e um cada vez mais diversificada e ampla gama de superfícies de ataque. .
Em termos de como rastreamos, há um processo claro que nossos hackers devem seguir. Depois de se inscrever para uma conta do HackerOne, eles podem procurar um programa participante e começar a hackear. Se encontrarem uma vulnerabilidade, eles usarão o diretório do HackerOne para encontrar a melhor maneira de entrar em contato com a organização e enviar um relatório. A empresa então revisará o conteúdo e recompensará as descobertas válidas.
Das dez vulnerabilidades mais impactantes e recompensadas no novo relatório HackerOne, qual você considera a maior ameaça às organizações hoje e por quê?
Cross-site scripting (XSS) vulnerabilidades. Este é o segundo ano consecutivo que eles estão no topo da nossa lista, pois continuam a ser uma grande ameaça para os aplicativos da web e respondem por 18% de todas as vulnerabilidades relatadas. Os invasores tiram proveito dos ataques XSS e ganham controle da conta de um usuário para roubar informações pessoais, como senhas, números de contas bancárias, detalhes de cartão de crédito e muito mais. Nossos clientes premiaram mais de US $ 4,2 milhões em prêmios totais, 26% a mais do que em 2019.
Vulnerabilidades comuns como XSS são frequentemente descartadas por CISOs amadores que perseguem as “ameaças do dia”, mas os hackers estão constantemente nos mostrando que essas práticas recomendadas negligenciadas continuam a ser uma das maneiras mais eficazes de comprometer dados pessoais.
Em quais tipos de vulnerabilidades você está mais interessado?
No momento, estou interessado em ver o que acontece com as vulnerabilidades SSRF (Server Side Request Forgery), cuja prevalência está aumentando conforme ocorrem as migrações para a nuvem. Historicamente, os erros de SSRF têm sido bastante benignos, permitindo apenas varredura de rede interna e, às vezes, acesso a painéis de administração internos. Mas nesta era de jejum transformação digitalO advento da arquitetura em nuvem e terminais de metadados desprotegidos tornou essas vulnerabilidades cada vez mais críticas.
Que conselho você daria a uma empresa que está procurando implementar um programa de recompensa por bug pela primeira vez?
Rastejando, caminhando, correndo. Sua empresa não precisa pular de cabeça. As empresas podem limitar o número de hackers que participam de um programa privado. Use essa capacidade de iniciar de maneira controlada para garantir que você tenha uma política clara, a capacidade de classificar e executar análises de causa raiz com eficácia e que esteja progredindo em um ritmo gerenciável para suas equipes de desenvolvimento. Correr rápido demais geralmente leva a um golpe repentino e ao adiamento do investimento necessário em suas práticas básicas de segurança.
Como as empresas devem atribuir valor monetário à descoberta de um bug específico?
Para começar, não pague por um erro específico. Comece com um programa de divulgação de vulnerabilidade que simplesmente estabelece um processo para receber vulnerabilidades de mecanismos de pesquisa externos sem a promessa de uma recompensa financeira.
A partir daí, comece com um pequeno programa particular em algumas de suas superfícies de ataque mais difíceis. Nossa equipe pode trabalhar com você para comparar sua superfície de ataque escolhida com nossos dados de referência para organizações semelhantes com o objetivo de atrair uma linha de base inicial de atenção da comunidade antes de aumentar as recompensas conforme sua superfície de ataque endurece. .
O valor monetário normalmente depende de quão crítico é o erro; quanto mais grave a vulnerabilidade, maior a recompensa. Em nosso recente 2020 Relatório de segurança baseado em hackers, Descobrimos que a recompensa média para todas as vulnerabilidades de qualquer gravidade era de US $ 979.
