11.4.2016 - Se você é um
especialista em informática e está interessado em ganhar milhares de dólares do
conforto de sua casa, algumas iniciativas de várias companhias tecnológicas e
governos podem te interessar. Neste mês o governo dos Estados Unidos anunciou a
abertura, pela primeira vez, de um programa para "caçadores" de erros
de software (os chamados "bug hunters", em inglês), oferecendo uma
recompensa de US$ 150 mil (cerca de R$ 540 mil) para quem conseguir detectar
falhas nos sites do Departamento de Defesa antes que os hackers consigam
fazê-lo. Ataques não autorizados de hackers têm grande repercussão e podem ter
consequências catastróficas para a organização que for vítima do ataque, então
muitos recorrem a terceiros para ajudar na segurança além de empregar seus
próprios especialistas, oferecendo recompensas financeiras como incentivo. Este
é um negócio potencialmente milionário. No
mês passado, o Uber anunciou que também estava se engajando na arena das
recompensas por bugs de software, enquanto empresas como Facebook e Microsoft
já vêm fazendo isso há anos. A
recompensa máxima oferecida pela Microsoft é atualmente de US$ 100 mil (R$ 360
mil), para "técnicas explorativas realmente inovadoras contra proteções
incluídas na última versão de nosso sistema operacional" - ou qualquer
coisa que consiga driblar os sistemas de segurança do Windows. Geralmente um programa de recompensa como
esses paga um prêmio baseado na relevância da falha encontrada. O Facebook até hoje já pagou quase US$ 1
milhão (R$ 3,6 milhões) em recompensas, mas o prêmio médio em 2015 foi de US$
1.782 (R$ 6.400) por bug. Os caçadores de falhas mais prolíficos vieram da
Índia, do Egito e de Trinidad e Tobago, segundo a empresa. Oportunidades de trabalho "Com recompensas para detecção de
bugs, as companhias acabam fazendo com que os melhores hackers analisem seus
programas", diz o cientista da computação Gianluca Stringhini,
professor-assistente na Universidade College London. "Quanto mais gente
analisar um programa, mais erros elas encontram", comenta. "Essa
também é uma forma de as empresas identificarem novos talentos." Não há dúvida de que se você tiver sucesso
como caçador de bugs por conta própria, pode até conseguir um emprego - o
especialista em segurança Chris Vickery conseguiu seu trabalho atual fazendo
justamente isso. "Quando encontrei
uma das bases de dados da (empresa de software) MacKeeper, eles viraram para
mim e disseram: 'Ok, queremos te contratar para nos dar dicas sobre
vulnerabilidade de dados'", conta Vickery. "Foi uma resposta
incrível." Tempo livre O caçador de
bugs belga Arne Swinnen é considerado atualmente o número dois no chamado
"hall da fama" do Facebook - uma surpreendentemente longa lista de
pessoas que ajudaram a garantir mais segurança a diversas plataformas por
conseguirem encontrar e compartilhar as vulnerabilidades dessas redes antes dos
ataques dos cibercriminosos. Swinnen tem
um emprego tradicional durante o dia, mas somente no tempo livre já acumulou
nos últimos meses cerca de U$ 15 mil (R$ 53 mil aproximadamente) encontrando
fragilidades em sistemas. "Alguns
bugs eu levei dois dias para detectar; outros, somente cinco minutos. O maior
de todos me fez ganhar U$ 2,5 mil (R$ 8,3 mil) e tomou só cinco minutos do meu
tempo", disse. Ele começou dando
uma olhada no Instagram depois de pesquisar bugs na internet e identificar que
poucos "caçadores" estavam prestando atenção nessa rede social. "Eu olhei o que tinha disponível:
website, aplicativo para celular, e então vi as funcionalidades e comecei a
procurar as vulnerabilidades", explica.
Ele admite que não sua namorada não considera essa a forma ideal de
passar o tempo livre, mas pode ser uma estratégia lucrativa. "É meu hobby, eu gosto de caçar bugs, e
é emocionante quando você encontra alguma coisa", disse ele à BBC. Do
lado certo da lei Certamente
muitas das empresas sem valorizam esse tipo de auxílio em seus programas de
segurança. Mas há algumas questões a serem levadas em conta se você planeja
caçar bugs nesse ambiente "selvagem" - a primeira delas é que o
acesso não autorizado a sistemas é ilegal em muitos países. "No Reino
Unido, a legislação determina que o acesso não autorizado é crime – mesmo que a
porta esteja escancarada", afirma o especialista em cibersegurança Alan
Woodward, da Universidade de Surrey. Wooward
também alerta sobre as responsabilidades relacionadas ao tratamento de qualquer
dado que você encontre flutuando por aí que talvez não esteja criptografado ou
tão seguro como deveria estar. "Você tem o dever de cuidar (em nome de)
quem quer que seja o 'dono' daquilo. Alguns hackers acham que estão acima
disso, e não estão", afirma. "É preciso ser cuidadoso, é um campo
minado – há uma linha tênue entre investigar vulnerabilidades e o acesso não
autorizado". No Brasil, o assunto é
tratado pela Lei de Crimes Cibernéticos, que considera crime "invadir
dispositivo informático alheio (...) para obter, adulterar ou destruir dados
sem autorização expressa ou tácita do titular do dispositivo". Sempre
alerta O tema também é um campo minado para
empresas, especialmente pequenos negócios, que podem não ter nem a expertise,
nem os recursos para administrar esse exército global de chapéus brancos – e os
hackers que os seguem. "Geralmente o problema ocorre quando uma pessoa
desenvolve um programa e espera que o usuário mexa nele de maneira correta. Mas
um cibercriminoso pode apresentar uma novidade que ninguém pensou e que faz o
programa rodar de uma forma completamente diferente", diz Gianluca
Stringhini. O conselho básico dele para
todas as empresas é simples: "Fique atento às notícias, veja que tipo de
novos ataques estão sendo feitos, certifique-se de que quando uma nova
vulnerabilidade for descoberta, você atualize o sistema – e fique de olho em
qualquer atividade estranha".
0 comentários:
Postar um comentário