Na semana passada a Apple fez manchetes por finalmente ter anunciado um programa ‘público’ de caça ao bug e pelas recompensas chorudas que estão em jogo: as descobertas mais graves podem ser recompensadas com 200 mil dólares.
A marca da maçã junta-se finalmente ao vasto rol de empresas que ou têm programas próprios de recompensa de caça ao bug ou recorrem a estruturas mais organizadas para o mesmo fim, como a Hacker One ou a Bugcrowd.
A Google já pagou aos investigadores de segurança informática mais de 550 mil dólares só pelas falhas descobertas no sistema operativo Android. Desde 2014 o Twitter já pagou mais de 322 mil dólares pelos bugs descobertos na rede social. E a Uber que é uma ‘novata’ nestas andanças também já gastou vários milhares de dólares, com três investigadores portugueses a estarem entre os contemplados.
Apesar de o programa de caça ao bug da Apple ter recebido logo à partida algumas críticas – como o facto de só ser acessível através de convite e de poder ter como objetivo dificultar a vida ao jailbreak -, o volume das recompensas foi por sua vez elogiado.
Mas hoje até os 200 mil dólares oferecidos pela tecnológica de Cupertino estão em ‘xeque’ depois de a empresa de cibersegurança Exodus Intelligence ter revelado um programa de recompensas cujo valor máximo pode atingir os 500 mil dólares – este valor está reservado para falhas de segurança zero-day que sejam encontradas no iOS, isto é, falhas em que a empresa tem zero dias para começar a sua mitigação.
É quase como se a Apple tivesse perdido no seu próprio jogo – uma empresa ‘concorrente’ está a oferecer duas vezes mais e supostamente pelas mesmas falhas. A Exodus Intelligence apenas diz que o valor de 500 mil dólares está reservado a vulnerabilidades no iOS, mas não aponta quais as tipologias que serão recompensadas. Já a marca da maçã faz referência específica ao kernel do sistema operativo e ao Secure Enclave, parte do hardware onde guarda dados sensíveis como as impressões digitais.
Neste mesmo programa a Exodus oferece ainda 150 mil dólares para falha relativas ao navegador Google Chrome, 125 mil para as falhas do Microsoft Edge e 60 mil pelas do ‘velhinho’ Adobe Flash.
Como é que uma empresa consegue oferecer tanto dinheiro – e mais do que as próprias tecnológicas donas do produto – para saber quais as falhas de segurança que existem? A resposta está no facto de tudo isto ser um negócio.
Na prática a Exodus Intelligence compra bugs aos investigadores que os encontram. No mundo atual qualquer vulnerabilidade pode representar um prejuízo de milhões para as empresas, por isso obviamente que quem os detém tem ao mesmo tempo um forte ativo.
De acordo com uma reportagem da Time feita sobre a Exodus Intelligence em 2014, a empresa tem um serviço de subscrição anual através do qual cobra cerca de 200 mil dólares aos seus clientes para saberem quais são os últimos bugs que estão a afetar a indústria. A Exodus diz que esses dados servem apenas como metodologia de defesa, mas é também fácil de imaginar um cenário onde podem servir como forma de ‘explorar’ a concorrência.
Em maio o Facebook pagou dez mil dólares a um rapaz de apenas dez anos por uma falha de segurança grave encontrada na rede social Instagram
Entre os clientes da Exodus estarão por exemplo as grandes empresas de segurança informática responsáveis por programas de proteção. Ao saberem quais os últimos bugs conseguem ter os seus antivírus sempre atualizados, algo obrigatório nos dias que correm.
Os pagamentos mais aliciantes por parte da Exodus explicam-se com o facto de a empresa ter necessidade de atrair os hackers para não os ‘perder’ justamente para as empresas ou para os programas como o HackerOne. Ou pensa que este anúncio tão colado ao da Apple é apenas pura coincidência? É tudo uma questão de negócio.
Um dos aspetos mais interessantes do programa da Exodus é que os investigadores podem ser recompensados ao longo do tempo se as falhas descobertas não tiverem sido sanadas – o que significa que esses bugs ainda têm valor. Por cada trimestre que passa sem uma correção o hacker vai receber um pouco mais pela partilha da informação.
Porque cada vez mais no mundo da cibersegurança não importa só a questão da complexidade da falha – a velocidade de resposta é quem está a causar maior preocupação. Lembremos o recente caso das passwords do LinkedIn: roubadas em 2014, estiveram cerca de dois anos disponíveis no mercado negro para quem as conseguisse comprar. Nesse período de tempo centenas de utilizadores podem ter visto alguns dos seus serviços invadidos e sem saberem porquê pois só este ano houve confirmação do total de dados e palavras-passe roubados à rede social.
Zerodium colocou um alvo nas costas do iOS
Em setembro de 2015 a empresa de ‘compra e venda’ de bugs Zerodium fez com que a versão 9.1 do iOS se tornasse quase num inimigo público: prometeu um milhão de dólares a quem encontrasse um buraco na segurança do sistema operativo que permitisse invadi-lo de forma “silenciosa”.
Duas equipas de hackers tentaram a sua sorte, mas só uma conseguiu efetuar um jailbreak – ganhar controlos de administrador no smartphone – de forma remota e através de uma ‘simples’ visita a um site.
O caso foi acompanhado pela Wired e no exemplo da Zerodium não há dúvidas: estas vulnerabilidades são vendidas a organizações privadas e estatais para os fins que bem entenderem, incluindo espionagem.
Em julho um único investigador ganhou 205 mil dólares da Zerodium por três falhas de segurança reportadas
O fundador da Zerodium, Chaouki Bekrar, disse na altura à publicação que a sua empresa não tencionava revelar a falha à Apple, pelo menos não num curto espaço de tempo. Esta declaração por si só mostra bem o poder que a cibersegurança está a ganhar – e talvez até tenha sido esta declaração que fez a Apple dar corda aos sapatos. Isso e o facto de o FBI também ter pagado um milhão de dólares a um grupo anónimo que conseguiu desbloquear o ‘iPhone da discórdia’.
Desde a tal falha a Zerodium ‘baixou’ o preço das vulnerabilidades no iOS para 500 mil dólares – o milhão de dólares ajudou a colocar a empresa nas bocas do mundo visto que só existe desde julho de 2015.
Agora juntamente com a Exodus Intelligence são as duas únicas empresas que trabalham com os bugs como se fossem ações numa bolsa de valores – gerindo a procura e a oferta, ganhando dinheiro pelo meio. Pelo menos estas são as duas únicas que têm a sua tabela de preços publicadas na internet.
