As plataformas de recompensas por bugs HackerOne, Bugcrowd e Synack servem como intermediários entre hackers brancos e empresas que desejam melhorar a segurança de seus produtos. Quando usada corretamente, a lógica é simples:- Um hacker relata uma vulnerabilidade.
- A empresa de desenvolvimento corrige o bug e lembra ao hacker uma recompensa em gratidão pelo fato de ele ter feito a coisa certa.
Mas, na realidade, tudo funciona de maneira diferente. Como a investigação das OSCs mostrou , as empresas e as plataformas de recompensas de insetos inverteram tanto a divulgação de vulnerabilidades que muitos especialistas, incluindo a ex-diretora de políticas da HackerOne, Katie Mussouri, chamam isso de "perversão".Em resumo, em vez de corrigir bugs, as empresas priorizam subornar hackers, forçando-os a assinar o NDA como um pré-requisito para o pagamento de remuneração. Isso muda fundamentalmente a lógica do que está acontecendo.Procedimento de divulgação de vulnerabilidades
O programa de divulgação de vulnerabilidades (VDP) é um requisito quase obrigatório para muitas empresas. Por exemplo, a Comissão Federal de Comércio dos EUA recomenda que as empresas adotem esses procedimentos e multas por práticas inadequadas de segurança. No ano passado, o Departamento de Segurança Interna ordenou que todas as agências civis federais introduzissem procedimentos de divulgação de vulnerabilidades.No entanto, para qualquer agência ou empresa, o VDP é uma enorme dor de cabeça. O procedimento é o seguinte: os pesquisadores de segurança relatam um bug e fornecem um prazo máximo de 90 dias para corrigi-lo. Quando o tempo acaba, eles ligam para alguns de seus jornalistas favoritos e publicam informações completas sobre a vulnerabilidade no Twitter, além de falarem na conferência Black Hat ou no DEF CON, se isso é realmente um bug.Por um lado, o procedimento de divulgação de vulnerabilidades fornece um certo equilíbrio entre os interesses da empresa, da sociedade e dos próprios pesquisadores de segurança, que recebem reconhecimento por seu trabalho. No entanto, existem várias empresas que podem estar preocupadas com o preço de suas ações e / ou reputação, de modo que preferem pagar para se livrar da necessidade de se reportar ao público.As plataformas de recompensas de bugs oferecem às organizações uma alternativa tentadora. Pesquisadores relatam vulnerabilidades em acordos de não divulgação (NDAs). Eles são literalmente pagos pelo silêncio. Então a empresa faz o que quer. Talvez corrija esses bugs que você reportou, se quiser. Pode não consertá-lo, mas você está proibido de falar sobre isso.O silêncio é uma mercadoria
O silêncio é uma mercadoria. E parece que este produto está em demanda no mercado. A demanda cria oferta. Portanto, as plataformas de recompensas por bugs expandiram suas atividades de forma a oferecer aos clientes o que eles estão dispostos a pagar.A ex-diretora de políticas da HackerOne, Katie Mussouri, acredita que a raiz do problema é a comercialização de plataformas de recompensas de bugs que buscam crescimento exponencial. Por exemplo, o gerenciamento do HackerOne estabeleceu uma meta de reunir 1.000.000 de hackers na plataforma. É importante para eles atrair o maior número possível de empresas de qualquer tamanho, sob quaisquer condições, sob remuneração.
Katie Mussouri, ex-diretora de políticas da HackerOne, fundadora da Luta Security“Essas plataformas comerciais de busca de vulnerabilidades ... estão pervertendo todo o ecossistema, e eu quero que ele pare, mesmo que eu pague por isso”, diz Mussouri . Como uma das líderes da HackerOne, ela recebeu uma opção de compra de ações e pode contar com uma recompensa generosa no caso de uma oferta pública bem-sucedida de ações da HackerOne. "Eu apelo a você, apesar do meu ganho financeiro pessoal."Outros especialistas independentes concordam que o sigilo prejudica a segurança da informação: “É melhor tornar as recompensas transparentes e abertas. Quanto mais você tenta classificá-los e aceitar a NDA, menos eficazes eles se tornam, mais se trata de marketing, não de segurança ”, diz Robert Graham, da Errata Security.Jonathan Leitschuh concorda com ele, que no ano passado divulgou uma vulnerabilidade catastrófica no programa de videoconferência Zoom (instalar um servidor web em um host local sem o conhecimento de um usuário com execução remota de comando).Uma exploração simples quando o Zoom está em um host local:<img src="http://localhost:19421/launch?action=join&confno=492468757"/>
Ativação da webcam sem permissão do usuário:<iframe src="https://zoom.us/j/492468757"/>
Jonathan Leitschuh notificou a empresa em 26 de março de 2019, mas não corrigiu a vulnerabilidade, então exatamente 90 dias depois o hacker publicou um artigo com uma descrição em domínio público. A informação se espalhou amplamente e fez barulho. Depois disso, a empresa lançou instantaneamente um patch.Mas o hacker não recebeu uma recompensa. “Esse é um dos problemas com as plataformas de recompensas de bugs, como elas existem agora. Eles permitem que as empresas evitem um período de divulgação de 90 dias ”, diz ele. - Muitos desses programas constroem seus negócios com essa idéia de não divulgação. No final, parece que eles estão tentando comprar o silêncio do pesquisador . ”Private Bug Bounty
Os acordos de não divulgação de plataformas, como o HackerOne, proíbem até mesmo mencionar a existência de programas privados de recompensa de bugs. Um tweet como "A empresa X tem um programa privado em Bugcrowd" é suficiente para expulsar o hacker da plataforma.Os hackers são silenciados por um chicote e uma cenoura. Onde a cenoura é compreensível, isso é dinheiro. Mas há um chicote: por violação do acordo da NDA, os pesquisadores podem ser responsabilizados, incluindo processos criminais. A mesma responsabilidade teoricamente ameaça os hackers que, por seu próprio risco e risco, publicam informações sobre vulnerabilidades sem entrar em nenhum acordo com a empresa, mas simplesmente sendo guiados por princípios geralmente aceitos de ética de hackers e um estatuto de limitações de 90 dias a partir do momento em que a empresa é notificada.Em 2017, o Departamento de Justiça dos EUA publicoudiretrizes para a proteção dos pesquisadores de segurança. De acordo com a lógica do documento, penalidades severas por hackers ilegais não devem ser aplicadas a um cidadão preocupado com a segurança pública e que faz hackers no interesse público, tentando fazer a coisa certa. Mas esta questão permanece perante o tribunal. Se o hacker quiser proteção legal garantida contra a acusação, ele deve assinar o NDA, caso contrário, ele enfrentará prisão de dez anos ou mais, de acordo com a Lei de Abuso e Abuso de Computador, CFAA. É assim que as recompensas de bugs particulares devem ser entendidas.Por exemplo, pegue o PayPal. No site oficial indicadoque cada pesquisador deve criar uma conta do HackerOne e concordar com os termos de seu programa de recompensas por bugs, incluindo o NDA. Se você relatar um erro de qualquer outra maneira, o PayPal se recusará a garantir sua segurança e não excluirá a apresentação de uma reclamação.Ou seja, você só pode relatar uma vulnerabilidade por assinar um NDA, e nada mais. "Ao enviar uma inscrição ou concordar com os termos do programa, você concorda que não pode divulgar publicamente suas descobertas ou o conteúdo da sua inscrição a terceiros de forma alguma sem o consentimento prévio por escrito do PayPal" , diz o documento .
Programas privados semelhantes com NDAs também estão disponíveis para outras empresas que pagam recompensas através do HackerOne.Isso é inaceitável do ponto de vista da Electronic Frontier Foundation: "A EFF acredita firmemente que os pesquisadores de segurança sob a Primeira Emenda [da Constituição dos EUA] têm o direito de relatar suas pesquisas e que a divulgação de vulnerabilidades é muito útil", diz Andrew Crocker, advogado sênior da Fundação. fronteiras eletrônicas. Segundo ele, muitos dos principais pesquisadores de segurança se recusam a trabalhar em plataformas de recompensas por bugs devido à necessidade de assinar o NDA.Por exemplo, Tavis Ormandy, um hacker respeitável do projeto Google Project Zero, assumiu essa posição. Tavis se recusa a assinar o NDA, preferindo o e-mail: "Eles podem não ler meus relatórios se não quiserem ", diz ele . O temporizador por 90 dias ainda está correndo.
Tavis Ormandy não é o único pesquisador de segurança que se recusa a amordaçar, escreve a CSO.Kevin Finisterre (@ d0tslash) recusou US $ 30.000 porque a DJI precisou assinar um NDA para pagar uma taxa e não se arrepende de sua decisão. Porque, graças à divulgação de informações, Kevin ganhou fama e respeito na comunidade de segurança da informação e, no início de sua carreira, vale muito.No final, a existência do NDA não está em conformidade com os padrões ISO 29147 e ISO 30111, que definem as melhores práticas para o recebimento de relatórios de vulnerabilidade, correção desses erros e publicação de recomendações. Katie Mussouri é coautora desses padrões e garante que recompensas de bugs privadas por definição não possam atender a esses padrões, que descrevem as regras para receber e processar informações de uma empresa: “Quando a não divulgação é um pré-requisito ou condição para relatar erros através da plataforma de recompensas de bugs, fundamentalmente viola o processo de divulgação de vulnerabilidades descrito na norma ISO 29147, diz Moussouri. "O objetivo do padrão é tornar possível relatar vulnerabilidades e [destacá-lo] emitir recomendações para as partes afetadas."A teoria da divulgação de vulnerabilidades argumenta que o risco a curto prazo da divulgação pública é superado pelos benefícios a longo prazo de corrigir vulnerabilidades, informar melhor os usuários e melhorar a segurança sistêmica.Infelizmente, plataformas como o HackerOne não seguem esses princípios. Em seu blog, Os cinco componentes críticos de uma política de divulgação de vulnerabilidades, o HackerOne explica aos clientes como calar a boca os pesquisadores de segurança. Em particular, recomenda-se não indicar o período após o qual os pesquisadores podem divulgar publicamente seu trabalho:
Segundo Mussouri, organizações maduras podem e devem adotar seus próprios programas de divulgação de vulnerabilidades. Se eles estão prontos para uma avalanche de mensagens de erro duvidosas, eles podem opcionalmente definir uma recompensa por recompensa de bug, mas os intermediários representados pelo HackerOne são de pouca ajuda: “Eu disse a eles antes de sair”, diz Mussouri, “se vocês podem simplificar a comunicação entre pesquisadores e fornecedores, isso é bom. Mas se você está tentando vender o controle, está fazendo a coisa errada. ”
