Quando hackers podem ser parceiros para o crescimento dos negócios

Nos últimos meses, as empresas se viram forçadas a migrar para o modelo de home office, e seus profissionais, que antes trabalhavam por trás de toda uma camada de segurança, como firewall e antivírus, agora estão trabalhando direto de casa, com um nível de proteção inferior ao ambiente corporativo. O resultado são ataques cibernéticos em massa.

De janeiro a junho, o Brasil sofreu mais de 2,6 bilhões de tentativas de ataques cibernéticos – de um total de 15 bilhões em toda a América Latina e Caribe. A informação é de um relatório divulgado pela Fortinet. No último trimestre, a empresa registrou um aumento de ataques de ‘força bruta’ na região, que representam tentativas de adivinhar uma credencial por meio do envio de diferentes nomes de usuário e senhas para acessar um sistema.

Durante a quarentena, de acordo com dados do setor, as vulnerabilidades mais encontradas em empresas têm sido aquelas falhas que expõem dados de usuários. Isso é alarmante, tendo em vista a vigência da nova Lei Geral de Proteção de Dados (LGPD), que poderá acarretar multas milionárias a empresas que tenham dados de clientes vazados.

No Brasil, terceiro país que mais sofre tentativas de ataques virtuais no mundo, os cibercriminosos se diferem de hackers de outros países. Além do entendimento estratégico, possuem conhecimento das regras de negócios, além de muita criatividade. Eles encontram não apenas vulnerabilidades técnicas, mas também falhas de processos.

Esses ataques a sistemas corporativos são responsáveis pela maioria das crises de imagem e confiança em negócios que armazenam e utilizam dados de clientes. Uma falha de segurança pode gerar prejuízos gigantescos a empresas por meio do roubo de informações e dinheiro, paralisação de seu serviços e diversos outros danos.

Diante desse cenário, quando se fala em hacker, a reação imediata da maioria dos executivos e equipes de TI é sentir receio. Há tempos, esse termo vem sendo associado erroneamente apenas aos criminosos da internet, que aproveitam brechas de segurança para implantar vírus e roubar informações de pessoas e empresas.

Trabalho em conjunto

No entanto, nos últimos anos, tem sido comum a propagação das atividades do ethical hacker, ou hacker do bem, profissionais que podem contribuir para o aumento de segurança e estabilidade do sistema de um negócio. A função desse especialista é realizar análises e ataques controlados a servidores e sistemas corporativos em busca de brechas de segurança. Com a identificação dessas falhas, a equipe de TI pode corrigi-las antes que um ataque hacker malicioso se aproveite das vulnerabilidades.

Os hackers, portanto, são especialistas em sistemas e redes de computadores, e têm conhecimento teórico e prático do funcionamento desses processos. Esses profissionais são focados na identificação de falhas que possam representar ameaças às empresas, como vazamento de dados, que impacta na LGPD; invasão; ataques por ransomware; ou outro risco que traga prejuízo financeiro, operacional ou de imagem.

Diante do crescimento do número de ataques cibernéticos, instituições das mais variadas áreas – financeira, telecomunicações e grandes corporações – têm procurado por profissionais especializadas em Ethical Hacking.

Que tipos de testes faz um hacker profissional?

Com base em conhecimentos fundamentais, o hacker ético utiliza técnicas específicas que permitem que ele detecte as vulnerabilidades dos sistemas.

O profissional utiliza todos os métodos e ferramentas disponíveis para atingir o objetivo de identificar possíveis bugs que possam comprometer dados importantes ou a operação da empresa. Os tipos de testes podem detectar:

• Vulnerabilidades técnicas: falhas diversas em sistemas, aplicativos, plataformas, APIs, entre outras, que podem causar um impacto negativo nas operações da empresa;
• Vulnerabilidades em processos: falhas em processos de negócio, como abuso de um processo de cupom de descontos, ou de bonificação;
• Possíveis pontos de vazamento de dados: vulnerabilidades que permitem acesso a informações sigilosas ou internas da operação do negócio ou informações pessoais de clientes ou colaboradores, que podem impactar diretamente nas obrigações de privacidade com dados pessoais impostas pela LGPD.

Programas de recompensa

Com mudanças recorrentes no setor de segurança e novas vulnerabilidades todos os dias, muitos hackers éticos têm oferecido seus serviços por meio de programas de Bug Bounty. A plataforma reúne especialistas em busca de reconhecimento e instituições comprometidas com a segurança da informação e privacidade de seus clientes.

A iniciativa recompensa e/ou remunera pesquisadores que comunicam falhas de segurança e permite que as empresas tenham seus sistemas testados de forma contínua, garantindo um tempo menor entre a descoberta da vulnerabilidade, a identificação da falha no sistema e a correção do bug.

A utilização de programas desse tipo é considerada uma boa prática e tem sido cada vez mais adotada por governos e grandes empresas, como Google e Facebook.

Por meio do Bug Bounty, as empresas interessadas podem abrir programas em diversas modalidades, que levam em consideração o tipo de serviço, o escopo do trabalho, a recompensa a ser oferecida, a escolha de especialistas, a avaliação e triagem de relatórios e a verificação e correção de falhas nos serviços.

Os hackers do bem, então, realizam testes e buscam falhas em produtos e serviços, como sistemas, aplicativos, websites e até dispositivos físicos, como totens e máquinas de cartão. Em média, as companhias levam 196 dias para perceber que foram atacadas. Com programas de recompensa, os especialistas identificam falhas e enviam relatórios às instituições em poucos minutos.

Uma vez encontrado o problema, o especialista produz um relatório, e, em alguns casos, uma “prova de conceito”, que mostra a vulnerabilidade na prática. Ele envia essas informações à empresa, que avalia os dados, confirma a falha e define o valor a ser pago. No Brasil, um hacker pode ganhar até R$ 10 mil pela descoberta de cada vulnerabilidade. Lá fora, as maiores recompensas já pagas ultrapassaram a marca de US$ 100 mil.

Uma das condições para receber o pagamento é que nenhum detalhe técnico sobre a falha pode ser divulgado antes que ela seja corrigida e, em alguns casos, nem depois. Isso protege usuários e também a reputação da empresa. Essa comunicação é feita pela plataforma, que valida questões de segurança normalmente mantidas pela companhia que usa o programa.

A importância de investimentos em cibersegurança

Hoje em dia, não há outra maneira de enfrentar os crescentes riscos relacionados à cibersegurança que não essa. Programas de recompensa por bugs já são realidade internacionalmente, e têm um papel fundamental na proteção de empresas, pois garantem uma metodologia contínua de testes de segurança por meio das atividades de um profissional.

Contar apenas com serviços corporativos para proteção dos ativos de uma companhia não é suficiente, e os especialistas podem ajudar a reduzir riscos e prejuízos, principalmente agora, com o trabalho remoto.

Os hackers do bem devem ser considerados aliados das empresas, pois protegem usuários, marcas e sistemas. Em tempos de LGPD, em que a segurança da informação está tão em evidência, a boa relação entre instituições e especialistas deve ser fomentada. Além disso, é fundamental que as instituições confiem nesses profissionais para assegurar a privacidade de seus clientes e garantir o funcionamento dos negócios.

*Bruno Telles é COO da BugHunt