segunda-feira, 2 de dezembro de 2019

Os hackers que ganham milhões (legalmente)

Certo dia, no verão de 2016, Pranav Hivarekar, um hacker profissional, iniciou uma missão para encontrar falhas no recurso mais recente do Facebook.
O gigante das redes sociais havia anunciado, apenas oito horas antes, que permitiria que os usuários comentassem nas postagens usando vídeos.
Pranav começou a hackear o sistema para detectar pontos fracos ou qualquer erro que criminosos pudessem explorar para invadir a rede de uma empresa e roubar dados.
E aqui está o que ele encontrou: o código tinha falhas que poderiam ser usadas para excluir qualquer vídeo do Facebook.

"Descobri que era possível explorar o código e até excluir um vídeo enviado por Mark Zuckerberg, se quisesse", disse Pranav, um hacker ético da cidade indiana de Pune, à BBC.
Ele relatou o erro — ou bug, como os hackers costumam chamar — ao Facebook por meio de seu programa de "recompensa de bugs". Duas semanas depois, ele foi recompensado com uma quantia de cinco dígitos em dólares.

Caçadores de bugs

Alguns hackers éticos estão ganhando muito dinheiro e essa indústria está crescendo.
Os chamados caçadores de bugs são geralmente jovens — mais de dois terços deles têm entre 18 e 29 anos, de acordo com estimativas da indústria.
Eles são recompensados ​​em dinheiro por um número crescente de grandes empresas por encontrar brechas no código da web antes que os bandidos o façam.
Encontrar uma falha desconhecida é muito raro e pode levar a pagamentos significativos, talvez até centenas de milhares de dólares - um grande incentivo para hackers éticos de elite ou "chapéu branco", como também são conhecidos.
"As recompensas são minha única fonte de renda", diz Shivam Vashisht, um hacker ético do norte da Índia que ganhou mais de US$ 125 mil (cerca de R$ 530 mil) em 2019.
"Invadir legalmente as maiores empresas do mundo e ser pago por isso é divertido e desafiador."
É um campo que não requer educação formal ou experiência para ter sucesso. Shivam, como muitos outros, diz que aprendeu o processo através de pesquisas e blogs online.
"Passei muitas noites sem dormir aprendendo como hackear e todo o processo de ataque de sistemas. Eu inclusive desisti da universidade no segundo ano."
Agora ele transformou seu desejo insaciável de encontrar falhas no código em uma carreira lucrativa, como Jesse Kinser, uma hacker americana.
"Meu interesse por hackers decolou na faculdade quando comecei a fazer muita pesquisa independente sobre invasões de dispositivos móveis e forense digital", explicou ela por e-mail.
"Durante um projeto, identifiquei uma maneira de introduzir aplicativos maliciosos na loja de aplicativos Android sem detecção."

Muito dinheiro

Especialistas dizem que os programas de recompensas por bugs desempenham um papel importante para mantê-los motivados.
"Estes programas fornecem uma alternativa legal para indivíduos com grande conhecimento em tecnologia que, se não a tivessem, poderiam estar inclinados às atividades nefastas de invadir sistemas e vender seus dados ilegalmente", diz Terry Ray, chefe de tecnologia da empresa de segurança de dados Imperva.
Em 2018, hackers dos EUA e da Índia reivindicaram a maior parte das recompensas do mundo, de acordo com a empresa de segurança cibernética HackerOne.
Alguns deles podem ganhar mais de US$ 350 mil (cerca de R$ 1,5 milhão) por ano.
Sandeep Singh, agora amplamente conhecido como 'geekboy' no mundo dos hackers, diz que isso envolve muito trabalho duro.
"Levei seis meses e 54 requisições para registrar meu primeiro relatório válido e ganhar uma recompensa".

Aumentando a segurança

Empresas como Hacker One, Bug Crowd, Synack e outras estão executando os programas de recompensas de bugs em nome de grandes organizações e até governos.
Elas atuam como agentes de hackers éticos, verificando o trabalho realizado e garantindo a confidencialidade dos clientes.
A HackerOne, a maior das três empresas de recompensas de bugs mais conhecidas, tem quase 550 mil hackers em seus registros e pagou mais de US$ 70 milhões (cerca de R$ 298 milhões) até agora, diz Ben Sadeghipour, chefe de operações de hackers da empresa.
"Grandes recompensas por bugs não são novas na indústria de tecnologia, mas elas estão aumentando como um passo natural no fortalecimento da postura de segurança de uma empresa".
As companhias entendem que o risco de não agir para encontrar essas vulnerabilidades pode levar a um possível ataque hacker, resultando em dados roubados, perda financeira e reputação prejudicada.
"Nos últimos anos, os ataques cibernéticos aumentaram mais de 80% a cada ano, mas há um número limitado de talentos em segurança", de acordo com a empresa de segurança cibernética Synack.

Programas de recompensas públicos x privados

A Synack continua cética sobre os programas públicos de recompensas por falhas que são executados de forma independente por gigantes da tecnologia, incluindo o Facebook e o Google, uma vez que elas dão a 'hackers não qualificados ou sem habilidades, acesso a ativos digitais sensíveis' de uma empresa.
"Por exemplo, um hacker invadiu o guia global de restaurantes Zomato em 2017 e ameaçou vender os dados de 17 milhões de usuários em um mercado da dark web, a menos que a empresa lançasse um programa de recompensas por bugs", diz Synack.
A Zomato escreveu um texto em um blog admitindo que "uma parte da nossa infraestrutura... foi invadida por um hacker ético".
A empresa cedeu às demandas do invasor e prometeu lançar um programa de recompensas por bugs, e o hacker destruiu os dados.
Especialistas aconselham que as empresas devem ter uma série de outras defesas bem administradas, muito antes de pensarem em deixar os caçadores de recompensas farejarem.

"As recompensas devem ser o fim do processo, não o começo", diz Ian Glover, chefe da organização Crest, que certifica as habilidades dos testadores de segurança éticos no Reino Unido.
As empresas de segurança cibernética dizem que podem oferecer testes mais controlados por meio de hackers confiáveis.
Para os hackers, torna-se uma maneira mais fácil de relatar os erros, pois muitos sites ou aplicativos não possuem uma estrutura formal de relatório de erros, além de um endereço de e-mail de administrador genérico.
"As empresas de recompensas de bugs ajudam a obter os relatórios de erros na frente das pessoas certas", diz o testador de segurança Robbie Wiggins.

Questões da indústria

Seja público ou privado, o espaço de recompensa está ficando lotado. E nem todo mundo está ganhando muito.
Algumas pessoas fizeram muito dinheiro, mas a maioria não. A indústria também enfrenta outro problema evidente: desequilíbrio de gênero.
"A segurança cibernética tem sido historicamente um campo dominado por homens, portanto, não é de surpreender que no ano passado apenas 4% da comunidade global de hackers fosse composta por mulheres", diz Casey Ellis, da Bug Crowd.
A empresa, junto com outras gigantes do setor, diz que está lançando várias iniciativas para incentivar mais mulheres a se unirem a elas na busca de tornar a internet um lugar mais seguro. Mas muito precisa mudar.
"Este é o resultado de valorizar o trabalho das mulheres menos do que dos homens, e é um problema endêmico", disse Jesse Kinser certa vez a Mashable durante uma entrevista.
"Então, vejo isso como uma questão social. Não se trata de atrair mais mulheres interessadas em tecnologia, já somos e nascemos prontas."
À medida que as demandas por uma internet mais segura aumentam, ela espera que mais mulheres se juntem e encontrem apoio na comunidade de hackers. E ela acha que até pequenas mudanças são benéficas.
"Tudo, independentemente do tamanho, segue num momento positivo e na direção certa", diz ela. (BBC News Brasil)

Nenhum comentário: