Vídeo: What is the Reaction of Cats to No-Face!?│Cats VS Ghost (Ft. My Mom) (Outubro 2024)
O que você ganha quando coloca alguns hackers em uma sala e fornece a eles uma lista dos sites de destino? Eles vão caçar insetos!
Foi o que aconteceu no Bug Bash 2013, um "hack-a-thon na Internet", executado por Bugcrowd na conferência da AppSec USA em Nova York no início desta semana. Aproximadamente 80 pessoas participaram de três noites e "centenas" participaram remotamente da Internet, disse Casey John Ellis, fundador e CEO da Bugcrowd. Os participantes enviaram os bugs que identificaram à Bugcrowd e a equipe replicou as condições que levaram ao erro para confirmar o problema.
A lista de alvos incluía empresas como Facebook, Google, Etsy, Prezi e Yandex. Os testadores de segurança que participaram identificaram mais de 220 bugs, disse Ellis. Na maioria das vezes, os problemas eram da variedade mundana, incluindo algumas vulnerabilidades de injeção e desvio.
"Ainda não ouvi falar de vulnerabilidades exóticas, mas ainda estamos analisando nossos dados", disse Ellis.
A Bugcrowd planeja divulgar mais detalhes sobre o tipo de bugs descobertos e informações sobre o evento posteriormente. A startup sediada em São Francisco executa programas em que grupos de pessoas trabalham juntos para encontrar bugs em sites e aplicativos. Depois de confirmar que os erros relatados são legítimos, ele lida com o processo de notificação dos fornecedores apropriados.
Bug Bounties
Os programas de recompensas por bugs estão se tornando cada vez mais populares, pois as empresas incentivam os pesquisadores a enviar relatórios de bugs diretamente a eles, em vez de vendê-los ao governo ou oferecer-lhes a exploração de corretores. Não relatar o bug ao fornecedor significa que o comprador pode usar essas vulnerabilidades para seus próprios propósitos e deixa os usuários desprotegidos contra essa falha de software.
A Mozilla e o Google provavelmente têm os programas de recompensa de bugs mais conhecidos, mas muitas outras empresas agora oferecem algum tipo de programa (uma lista longa, mas não completa, está aqui). O Facebook anunciou em agosto que pagou um milhão de dólares em prêmios nos últimos dois anos.
Nem todos os bugs se qualificam para esses programas. Por exemplo, o Facebook deixa claro que o programa cobre apenas questões que "poderiam comprometer a integridade dos dados do usuário do Facebook, contornar a proteção de privacidade dos dados do usuário do Facebook ou permitir o acesso a um sistema dentro da infraestrutura do Facebook". A Microsoft lançou uma série de prêmios recentemente e foi muito específica no tipo de problemas que estava procurando.
Bug Bash 2013
É difícil estimar neste momento o valor total dos bugs descobertos como parte do Bug Bash, pois os programas de recompensas por bugs variam muito em quanto pagam. Alguns programas pagam várias centenas de dólares e outros pagam vários milhares de dólares. Também é importante observar que cada empresa possui regras específicas sobre o que reconhece como erro e que tipos de problemas são abordados no programa de recompensas por erros.
Embora 220 bugs tenham sido enviados, cabe ao fornecedor decidir se os problemas estão qualificados para um pagamento. E mesmo que haja um pagamento, também cabe ao fornecedor decidir o valor. No entanto, mesmo que cada um dos mais de 200 erros valha apenas algumas centenas de dólares, isso não é ruim para algumas horas de trabalho em três dias.
Os representantes do Facebook estiveram presentes durante os eventos para fornecer informações sobre seus programas de recompensas de bugs e para responder a perguntas dos participantes.
As pessoas que estavam em sessões de treinamento aprendendo sobre diferentes técnicas estavam parando para participar do grupo-hack, disse Tom Brennan, membro do conselho da OWASP Foundation e um dos organizadores da AppSec USA. As pessoas estavam colaborando enquanto trabalhavam nos alvos e pedindo ajuda umas às outras. Encontrar bugs não é um processo automatizado, pois realmente exige que as pessoas pensem no que estão vendo e ajustem suas técnicas de acordo. Um ambiente colaborativo em que as pessoas podem trocar idéias entre si pode ser "muito eficaz" para caçar insetos, disse Brennan.
