O programa de bugs do Google não está apenas recompensando a empresa
(e, por extensão, você), mas também está recompensando pesquisadores de
segurança que buscam por vulnerabilidades em softwares da empresa.
A gigante das buscas anunciou recentemente que, nos últimos três
anos, o Google recebeu mais de 2 mil relatórios sobre falhas de
segurança e pagou mais de 2 milhões de dólares em prêmios.
Programas de recompensas estão se tornando uma maneira cada vez mais
popular para os fabricantes de software manterem seus produtos mais
seguros. Em vez de depender exclusivamente de funcionários ou relatórios
de empresas de segurança privadas, os programas de bugs criam um canal
para pesquisadores individuais relatarem falhas de segurança diretamente
para a empresa.
Se a brecha atender aos requisitos do programa de recompensas, então, a empresa pagará uma quantia para o descobridor da falha.
O conceito básico de programas de recompensa de bugs pode ser
remetido ao conceito de software de código aberto e à premissa de que
quanto mais olhos analisarem um código, mais provável que sejam
encontradas e corrigidas as falhas de segurança.
Ao contrário da comunidade open source, no entanto, os "caçadores de
bugs" do Google nem sempre tem acesso ao código subjacente. Em vez
disso, os pesquisadores tentam encontrar formas inovadoras para explorar
os sistemas da empresa.
Abrir as portas e declarar que está aberta a estação da caça em seu
próprio software pode parecer loucura, mas o conceito parece estar
funcionando. Um estudo recente realizado por pesquisadores da
Universidade da Califórnia em Berkeley descobriram que programas de recompensa de bugs são mais barato e mais eficazes do que a contratação de funcionários para fazer o mesmo trabalho.
Parte da razão para essa eficácia é que você terminar por ter mais
pessoas tentando fechar os buracos do seu sistema. Mas, no caso do
Google, os pesquisadores disseram que a competição desempenha um papel
importante também.
A gigante de Mountain View paga recompensas em uma escala móvel,
dependendo da gravidade da vulnerabilidade, e emite bônus para bugs
particularmente importantes. O Google também distribui recompensas
maiores durante competições como Pwnium e Pwn2Own, onde hackers competem
por prêmios por encontrar o caminho mais rápido para entrar em um PC
usando exploits baseados em browser.
A chance de conquistar recompensas maiores motiva as pessoas a
continuar procurando por erros, na esperança de um grande prêmio no
futuro. "Quanto maior o valor do prêmio em potencial", disseram os
pesquisadores da UC Berkeley, "mais dispostos estarão os participantes a
aceitar um valor mais baixo, o quer, para VRPs (programas de recompensa
de vulnerabilidades) significa que o programa pode esperar mais
participantes."
Dinheiro em troca de vulnerabilidades
Para comemorar a marca de 2 mil dólares, o Google não está dobrando
mas sim quintuplicando sua recompensa. A empresa vai agora pagar até 5
mil dólares para quem encontrar falhas no Chromium, um projeto open
source da empresa baseado no Chrome.
O Google não é a única grande empresa a oferecer recompensas por
bugs. Outras grandes companhias também se beneficiar da iniciativa, que
incluem AT&T, Facebook, PayPal, e Samsung.
Até mesmo a sempre reservada Microsoft está entrando na dança, e
anunciou em junho que daria recompensas para exploits encontrados no
Windows 8.1 e no Internet Explorer 11 por tempo limitado.
Qualquer um que estiver interessado em participar dessa "caça aos
bugs" pode encontrar uma longa lista de programas de recompensas no Bugcrowd.com.
Via: IDGNow
Nenhum comentário:
Postar um comentário