É uma afirmação arrojada em toda a linha sabendo sobretudo que há países com grande tradição na segurança informática como os EUA, Reino Unido, Rússia ou China. Mas isso não invalida que, neste nosso jardim à beira mar plantado, existam especialistas em segurança informática de grande qualidade.
Os programas de caça ao bug existem há mais de 20 anos. São iniciativas promovidas por empresas e organizações onde existe um apoio mútuo: os investigadores encontram falhas de segurança informática nos serviços das empresas, as empresas dão algo em retorno.
É prática comum o reconhecimento de falhas de segurança através do pagamento de prémios em dinheiro, mas também há quem opte por outras alternativas. A American Airlines, por exemplo, paga em milhas aéreas.
“Os programas de caça ao bug estão a passar do reino da novidade para serem vistos como uma boa prática”, salienta a BugCrowd, empresa que gere uma plataforma de ligação entre empresas e caçadores de bugs. “A adoção generalizada [dos programas de caça ao bug] por parte das organizações empresariais só descolou nos últimos anos”, destaca a BugCrowd no seu relatório The State of Bug Bounty.
O primeiro programa de caça ao bug foi feito pela Netscpace em 1995, para a versão 2.0 daquele que na altura era um dos browsers mais populares do mundo.
É neste relatório que Portugal aparece muito bem na fotografia. De acordo com o estudo – que tem por base os bugs relatados através da plataforma BugCrowd – os caçadores de bugs portugueses surgem como os segundos que mais dinheiro receberam. Portugal apenas é superado pela Índia, mas deixa para trás os EUA, o Reino Unido e a Malásia.
O estudo diz que “notavalmente” Portugal consegue assegurar a segunda posição no volume de pagamentos feitos mesmo não conseguindo estar no top 10 de países que maior número de bugs detetou com sucesso. Esta ligação leva-nos a outra conclusão do The State of Bug Bounty: Portugal surge na terceira posição dos países que detetou as falhas de segurança mais graves.
Correlacionando os factos que os caçadores de bugs portugueses não submetem muitas falhas, mas conseguem estar entre os que recebem maiores recompensas, devido ao facto de serem também dos que reportam falhas mais graves, Portugal é o país líder com melhor classificação geral nos caçadores de bugs.
A BugCrowd diz mesmo que Portugal é um dos países com Supercaçadores, pois o sucesso vem de um pequeno número de investigadores. Não há números oficiais de quantos caçadores de bugs portugueses podem existir, até porque esta é uma atividade muitas vezes feita de forma paralela ao trabalho principal.
O FUTURE BEHIND falou com dois caçadores de bugs que fazem parte da comunidade portuguesa de especialistas em cibersegurança para perceber melhor o relatório e esta realidade.
Cientes da qualidade, mas ainda assim surpreendidos
“Vou ser sincero, surpreendeu-me um pouco porque não pensei que uma pequena minoria teria tanto impacto. Somos muito poucos nesta área e segundo o relatório primamos pela qualidade e impacto nas vulnerabilidades”, disse David Sopas, consultor de cibersegurança na Checkmarx.
Já Duarte Silva, outro especialista português em cibersegurança, mostrou-se apenas surpreso pela “expressão tão forte no que toca a encontrar as falhas de segurança de prioridade mais alta”, mas não nas restantes conclusões pois, salienta, está em linha com o primeiro relatório da BugCrowd.
Pedimos aos dois especialistas uma análise ao perfil do caçador de bug português. Pelo relatório ficamos a saber que é pragmático e rentável. Mas para Duarte Silva há outra característica que se destaca.
“Temos um investigador com um perfil em que demonstra primeiramente paixão pela segurança, com o desenvolvimento de capacidades devido ao muito tempo pessoal dedicado a esta área, e com uma base de conhecimentos sólida não só na área da segurança, mas também em outras áreas das tecnologias de
informação”.
Google, Facebook, Yahoo e Mozilla são, por esta ordem, as empresas que mais pagaram em programas de caça ao bug.
O investigador explica este seu ponto de vista. “Apesar do trabalhador português no setor das tecnologias de informação ser de uma forma geral muito qualificado, tendo muitas vezes experiência em áreas bastante diversificadas (por exemplo a programação, administração de sistemas, bases de dados, etc.), a segurança não é uma área muito divulgada e ensinada nas faculdades e politécnicos. Além disso, é uma área que representa uma quota de mercado muito pequena dentro do já limitado mercado das tecnologias de informação português”.
Já David Sopas prefere destacar a inteligência em termos de posicionamento. “Os nossos ‘bug hunters‘ procuram onde outros não procuram. Talvez exista uma maior criatividade que permita pensar fora-da-caixa. Por vezes esta mentalidade leva a encontrar falhas graves e mostrar qualidade no programa. Não é só encontrar a vulnerabilidade. É demonstrar e explicar com o maior detalhe como é possível explorar essa falha e como corrigi-la”.
Apesar de Portugal ter os chamados Supercaçadores, a verdade é que o nosso país continua a não ter programas de bug bounty conhecidos. Duarte Silva fala na existência de algumas pentests, isto é, testes de penetração aos computadores de uma determinada rede, mas pouco mais.
David Sopas acrescenta que “já houve tentativas [de haver programas de bug bounty], mas foram barradas por burocracias”. “Somos um país muito pequeno para ter programas deste género. Apenas algumas empresas teriam essa capacidade. Entretanto, tal como nas outras áreas, os portugueses têm de se virar lá para fora” – algo que pode ajudar a explicar a razão pela qual Duarte Silva já não trabalha no mercado português “há algum tempo”.
A história de Alex Cultoneac
Recentemente a Wired escreveu um artigo onde contava a história deste jovem romeno que mesmo estando rodeado de pessoas que ganham muito mais dinheiro a fazer pirataria informática, escolheu o caminho do white hacking. Na prática Alex Cultoneac é também ele um caçador de bugs.
Já encontrou falhas de segurança em serviços das grandes empresas como Google, Facebook, Microsoft, PayPal ou Yahoo e usa o dinheiro conseguido para pagar os estudos. Isto com apenas 19 anos de idade e apenas quatro de caça ao bug.
A história de Cultoneac é especial pois é como se fosse um Anakin Skywalker [personagem da saga Star Wars] da cibersegurança e em processo de crescimento: está constantemente em conflito entre os dois lados da Força, sobretudo porque o lado negro é financeiramente muito mais apelativo. Mas graças à educação que recebeu e aos valores transmitidos durante o seu crescimento, como a honestidade, tem conseguido manter-se dentro dos carris.
Mark Litchfield é neste momento o caçador de bugs nº1 na plataforma HackerOne. David Sopas surge na 30ª posição
O romeno é apenas um jovem e não tem as mesmas despesas que um pai de família, por exemplo. Talvez por isso consiga manter essa sustentabilidade à base da caça ao bug. Pois viver dos bugs alheios é uma tarefa difícil.
“Não é um trabalho estável. Tanto se pode ganhar bem num mês, mas no mês seguinte não ter praticamente qualquer rendimento. Sei de um caso em que um utilizador no programa de bounties HackerOne ganhou no último ano 200 mil dólares. De referir que ele tem apenas 16 anos. Resumindo, depende de cada indivíduo o que fazer com este extra. Eu por hábito ajudo instituições que precisam de auxilio alimentar ou de cuidados médicos. Se todos os bounty hunters fizessem o mesmo, dariam o exemplo perfeito a quem muito tem e nada dá”.
Já na perspetiva de Duarte Silva o facto de alguém conseguir ou não viver da vida de caçador de bugs depende do “factor social e económico e da qualidade do investigador”.
“Por exemplo, um investigador baseado na Europa vai tirar um rendimento muito menor (custo de vida e tempo despendido versus recompensa recebida) de uma falha de segurança de prioridade baixa do que um investigador baseado na Índia”.
No caso de um investigador europeu é importante “ter a qualidade, experiência, e conhecimentos para encontrar as falhas mais obscuras e mais valiosas”. Justamente o que os portugueses parecem andar a fazer.
