Hackers ao resgate: programas de bug bounty ganham força no Brasil

Uma onda de digitalização atravessou o mundo ao longo do último ano e meio. Forçadas a reagir às realidades impostas pela pandemia da Covid-19, pequenas, médias e grandes empresas buscaram na tecnologia formas de se adaptar e sobreviver. Mas a rápida transformação digital também trouxe adversidades.

Ecossistemas digitais estão mais complexos e desafiadores do que nunca para equipes de segurança. Ciberataques também estão em alta. As estatísticas variam conforme a metodologia, mas estão sempre na casa dos milhões. De acordo com a Kaspersky, por exemplo, os oito primeiros meses de 2021 trouxeram 481 milhões de tentativas de infecção no Brasil – ou 1.395 tentativas por minuto.

Com superfícies de ataque mais amplas e pulverizadas, nem sempre times internos de segurança conseguem dar conta do recado. Nesse cenário, um grupo inusitado de aliados tem se mostrado cada vez mais valioso para organizações: os hackers. Ou, na nomenclatura que costuma assustar menos as empresas, os chamados “hackers éticos”.

“O termo ‘ético’ é ainda um mal necessário, eu diria. A gente poderia excluir o termo ético e falar só de hacker. A figura do hacker não era para ser atrelada a uma imagem negativa”, avalia o pesquisador de segurança Gabriel Pato, youtuber e uma das vozes mais conhecidas do país sobre a atuação de hackers éticos, em entrevista ao IT Forum. “A gente continua usando o ético porque, como a gente tem muitas notícias ligadas a crimes eletrônicos, muitas pessoas, quando batem o olho nesse termo, já associam à imagem criminosa.”

Hackers éticos – ou, simplesmente, “hackers” – são profissionais com conhecimento de tecnologia que exploram programas, códigos ou sistemas empresariais em busca de vulnerabilidades. Diferente de cibercriminosos, que realizam essas ações para benefício próprio, os profissionais éticos reportam as falhas descobertas aos responsáveis, ajudando-os a fechar possíveis portas de ataque.

Leia também: 83% das organizações brasileiras aumentarão gastos com cibersegurança em 2022

Esse fenômeno não é nenhuma novidade. Desde a década de oitenta, especialistas em computação têm levado bugs e vulnerabilidades descobertos a empresas e organizações. Seja voluntariamente ou como parte de programas de recompensa – conhecidos, em inglês, como “bug bounty”.

A ideia por trás desses programas é simples: buscar know-how sobre segurança fora da própria organização para testar sistemas. Caso alguém descubra um erro no código que possa ser um potencial vetor de ataque, a empresa oferece uma recompensa ao profissional pelo trabalho realizado. A própria empresa, na sequência, faz a correção do bug encontrado.

“Eu diria que faz parte do ciclo de evolução da tecnologia. Da mesma forma como tem alguém pensando na arquitetura, na implementação, na criação de uma tecnologia, eu defendo que é fundamental ter aquele cara que está fora desse cenário de construção e que está dedicado a tentar encontrar os problemas”, explica Pato. “Em harmonia, os dois lados vão fazendo essa dinâmica: um lado cria e o outro tenta martelar para encontrar problemas”.

Junto à onda de digitalização entre 2020 e 2021, essa prática tem ganhado força no mercado. Segundo a edição de 2021 do Hacker Report, relatório organizado e lançado em março pela plataforma de recompensas HackerOne, o número de hackers de seu ecossistema que criou relatórios de vulnerabilidades para organizações cresceu 63% em relação aos 12 meses anteriores.

Fundada em 2012 por um grupo de hackers, a HackerOne é considerada uma das pioneiras na organização de programas de bug bounty. Seu objetivo é não só ser uma plataforma onde empresas poderiam ter recursos para encontrar vulnerabilidades, mas um funcionar como uma espécie de ecossistema para divulgação e produção de conhecimento sobre a prática de ethical hacking.

Leia: Metade dos funcionários toma riscos com senhas durante o trabalho remoto

“Nós queríamos ter uma comunidade de hackers, ou pesquisadores de segurança, que poderiam se inscrever na HackerOne e buscar vulnerabilidades, fossem eles veteranos verificados ou só interessados em entrar no bug bounty. Queríamos uma plataforma em que todos fossem bem-vindos”, conta Ayana Ward, gerente de projetos da HackerOne ao IT Forum.

Só no ano passado, a plataforma ajudou hackers a ganharem mais de US$ 40 milhões com explorações de vulnerabilidades. Desde sua criação, já foram mais de US$ 100 milhões em recompensas distribuídas. Entre os mais de dois mil clientes da HackerOne estão gigantes como PayPal, Uber e Google, pequenas empresas e até agências de governo, como a NASA e a Comissão Europeia. Para a plataforma, isso é um ótimo sinal sobre como a visão da indústria sobre hackers tem mudado.

“Eu realmente acho que a definição de ‘hacker’ tem evoluído. Não é mais necessariamente visto como algo negativo. Nós temos uma comunidade enorme, de mais de 1,3 milhão de hackers, e isso mostra como temos uma grande quantidade de indivíduos que tentam fazer um trabalho ‘do bem’ para clientes”, avalia Ward.

Hackers em ação

Ainda que iniciativas voluntárias de relato de falhas e programas de bug bounty já existam há décadas, a ideia de ter um hacker fuçando em seus sistemas e aplicativos ainda não é uma que agrada a todas as empresas.

Especialmente no Brasil, onde a tendência levou um pouco mais de tempo para ganhar visibilidade, o mercado não recebia muito bem a ideia. “Se você voltar cinco ou dez anos atrás, ao tentar reportar uma falha para uma empresa você criava um conflito, a empresa queria te processar. Não existia uma harmonia de trabalho”, lembra Gabriel Pato.

Ao assistir às experiências positivas que companhias e organizações de mercados mais maduros, como os Estados Unidos, tinham no trabalho próximo à comunidade hacker, o mercado brasileiro foi se acostumando ao conceito. Puxado por setores com alta demanda por tecnologia, como serviços financeiros e e-commerce, a tendência também vem ganhando força no país.

“A gente viu um movimento muito grande de empresas que estavam começando a procurar plataformas lá de fora para criar programas de bug bounty porque aqui no Brasil não tinha. Vendo um espaço no mercado brasileiro, a gente resolveu criar a BugHunt”, relembra Caio Telles, CEO da BugHunt.

Fundada em março de 2020, a plataforma é uma ideia dos irmãos Caio e Bruno Telles – que hoje ocupam, respectivamente, os cargos de CEO e CIO da iniciativa. Ambos já faziam parte da comunidade internacional de caçadores de bugs há anos, mas, no ano passado, decidiram estruturar uma oferta voltada para o mercado brasileiro.

Veja mais: Estudo: três quartos das empresas no Brasil não conseguiriam recuperar dados

“A gente está precisando fazer uma educação de mercado. Quem entende o bug bounty é quem entende da necessidade – áreas mais técnicas de empresas conhecem e entendem a metodologia do bug bounty. A grande barreira é convencer o jurídico e as áreas mais tradicionais de empresas a atuarem nessa metodologia. Ainda há a ideia de que o hacker é um cibercriminoso”, explica.

A iniciativa não poderia ter chegado em um momento mais propício. Por conta da digitalização forçada pela qual muitas empresas passaram no Brasil nos últimos meses, a BugHunt atingiu um rápido crescimento. Hoje a plataforma já tem uma base com mais de 6,5 mil especialistas e já processou mais de 1,5 mil relatórios de vulnerabilidades.

Com a oferta localizada no Brasil, a BugHunt busca oferecer o que grandes plataformas internacionais de bug bounty não conseguem: atendimento em português brasileiro, um catálogo de especialistas que entendem características e peculiaridades do mercado nacional, e, é claro, recompensas que podem ser pagas em Real.

Leia mais: Brasileiro se considera responsável por segurança digital no trabalho remoto

A OLX foi uma das companhias que embarcou em um programa junto à BugHunt. A plataforma de classificados pode ser considerada uma espécie de pioneira na prática no país – seu primeiro programa, junto a uma ferramenta estrangeira, data de 2017. Mesmo abrigada em uma plataforma internacional, a empresa notou que as vulnerabilidades mais interessantes eram sempre reportadas por brasileiros. Em 2020, com o nascimento da BugHunt, a OLX resolveu fazer a migração.

“O aumento de qualidade e assertividade foi bem forte. O fato de você ter brasileiros, que conhecem o país, conhecem o produto, e que já usavam nosso produto – independentemente de estarem lá na plataforma –, fez toda a diferença”, diz Raúl Rentería, diretor de tecnologia da OLX.

Segundo o executivo, a vinda do programa de bug bounty para uma plataforma nacional também deu mais visibilidade à iniciativa. Inclusive entre times internos da OLX, a repercussão foi positiva. “Em termos de conscientização, já que a segurança tem um lado cultural, foi algo muito bom”, completa.

A maior fintech da América Latina, o Nubank também tem apostado em um programa bem próximo dos brasileiros – ainda que em parceria com uma organização internacional. Em agosto do ano passado, o banco digital começou suas primeiras conversas com a HackerOne para avaliar as possibilidades de um programa de bug bounty. Naquele momento, a empresa ainda buscava entender como funcionaria um programa do tipo, e qual seria seu potencial. Para isso, abriu um Vulnerability Disclosure Program (VDP), ainda sem oferecer recompensas.

Veja também: Estudo: dispositivos de IoT ameaçam a segurança de redes corporativas

A experiência trouxe insumos positivos para a equipe de segurança da informação do Nubank, que passou a enxergar o bug bounty como uma ferramenta complementar à sua estratégia. “[Cibersegurança é] um ambiente dinâmico, com várias mudanças A gente tem nossos próprios processos internos de teste e validação. Mas o volume é muito grande, então a gente precisa estar mais próximo desse tipo de serviço para ter mais capilaridade”, explicou Rodrigo Santos, gerente de engenharia de segurança de informação da empresa.

No início de setembro, a fintech anunciou oficialmente o início do seu programa de recompensas, liderado por sua área de segurança da informação. A empresa optou por um programa privado, em que apenas os pesquisadores brasileiros mais bem avaliados da HackerOne seriam convidados para buscarem bugs e vulnerabilidade no app do Nubank.

De acordo com Santos, a equipe de segurança da empresa já tem visto resultados e está se familiarizando com a dinâmica do bug bounty, analisando questões como o volume de trabalho e tempo de resposta necessários. No futuro, os planos do Nubank são aumentar o escopo do programa e, eventualmente, torná-lo público.

“Quando você não tem uma porta de entrada, um caminho de comunicação clara, você tende a não atender a alguns pontos de segurança que foram identificados pela comunidade e a não respondê-los”, aponta Santos. “Você também tende a ficar um pouco mais distante da realidade.

Antes do Bug Bounty:

Um programa de recompensas pode ser uma ótima ferramenta complementar à estratégia de cibersegurança de organizações. No entanto, isso não significa que seja uma ferramenta para qualquer empresa. Antes de olhar para fora e buscar uma solução de bug hunt, é essencial garantir que a sua própria casa esteja arrumada.

Processos maduros

Seja privado ou público, qualquer programa de bug bounty exige processos maduros de correção de vulnerabilidades, estabelecidos junto aos times de desenvolvimento. Segundo Caio Telles, da BugHunt, esse passo é essencial para que a empresa evite gargalos quando o programa de bug bounty estiver no ar. “[Sem processos] você vai empacar tanto o desenvolvimento novo quanto o antigo. Não vai ser legal nem para a empresa, nem para quem está reportando”, explica.

Promova um Pain Test

Quer ter uma amostra do que é um programa de bug bounty? Promova um pain test. Realizados junto a consultorias especializadas, esse tipo de projeto gera relatórios de vulnerabilidade mais detalhados e de escopo pré-definido, e servem como um “treinamento” para equipes de desenvolvimento. “A consultoria vai ter uma interface muito mais próxima da empresa, entregando um relatório que vai dar uma segurança interna maior”, pontua Telles.

Busque parceiros especializados

Realizar programas de bug bounty por conta própria é uma possibilidade, mas não é o ideal para empresas que não tenham expertise com o tema. Buscar parceiros e plataformas terceiras que já são parte do ecossistema de segurança é uma boa ideia para tornar programas mais ágeis e mais confiáveis

Comece com um programa privado

Programas privados são uma alternativa mais simples e mais controlada para empresas que ainda não têm experiência com a prática. Através deles, é possível selecionar um número específico de participantes para seu programa de descoberta de vulnerabilidades. Na prática, isso evita os grandes volumes de requisições que podem ser geradas em programas abertos. “É difícil até diferenciar quem está ali pelo programa de bug bounty e quem está mal-intencionado”, alerta Gabriel Pato. “O bug bounty público é para quem chegou ao nível máximo de maturidade em segurança”.