O que é um programa de recompensa por bugs?. Com mais de US $1,5 bilhões em criptomoedas roubadas em 2018, a indústria provou ser um paraíso para hackers. Toda a conversa sobre a tecnologia blockchain ser segura não a torna à prova de balas. E quanto ao software secundário, como provedores de carteira e trocas, muitos ainda permanecem lamentavelmente vulneráveis. É aqui que entram iniciativas preventivas como um programa de recompensas por insetos.
O que exatamente é um programa de recompensas por insetos?
Na realidade, o “bug bounty” tornou-se o buzzword de jour. Outros nomes para esse tipo de atividade de segurança cibernética são hacking ético, hacking de chapéu branco, programa de recompensas de vulnerabilidade (VRP) e assim por diante.
No entanto, a principal diferença entre um programa de recompensa de bugs e hacking de chapéu branco é que o programa é iniciado pela própria empresa. Eles convidam ativamente hackers a procurar falhas em seu sistema e compensá-los quando o fizerem.
Muitos sites e fornecedores de software pagam uma remuneração saudável aos hackers éticos que encontram falhas e os denunciam. Os relatórios de bugs precisam conter informações suficientes para que a empresa possa reproduzir a vulnerabilidade.
A compensação é de acordo com o tamanho e a escala da vulnerabilidade e o impacto que ela poderia ter. De acordo com fontes, a Mozilla normalmente pagava uma taxa fixa de US $3.000 por recompensa, enquanto o Facebook pagou até US $20.000. A Apple até descascado até US $200.000 por uma falha em seus componentes de firmware de inicialização segura do iOS.
Interrompendo os hackers antes que o dano seja feito
Ficar um passo à frente dos hackers é essencial. É por isso que as empresas de blockchain devem sempre ter algum tipo de programa de recompensa de bugs ou Avaliação de Segurança do Crowdsource (OCSA) em andamento. No entanto, de acordo com pesquisas sobre as 100 principais trocas de criptografia, apenas 13% delas fazem.
Os programas de recompensa por erros são geralmente muito eficazes, mas podem ser controversos. Afinal, você está essencialmente incentivando atividades ilegais - ou pior, incentivando hackers que já roubam fundos para ganhar a vida extra.
Dito isto, um programa de recompensas por bugs também pode resultar em emprego e relacionamentos duradouros, como é o caso dos especialistas em segurança cibernética Red4Sec e NEO.
Um exemplo de hacking ético como um serviço
De acordo com os co-fundadores da Red4Sec, Fernando Díaz Toledano e Jaime Kindelan, os programas de recompensa de bugs são ainda mais relevantes na cadeia de blocos do que os aplicativos de internet tradicionais. Por que? Por causa da imutabilidade do blockchain.
Jaime explica: “A principal diferença é que se você cometer um erro com blockchain, ele é imutável. Então, se você encontrar um problema, é muito mais difícil de corrigir. O blockchain foi projetado para não ser alterado. Portanto, é muito mais importante estar ciente de todos os problemas potenciais na fase inicial.”
Fernando ecoa suas palavras: “Se você encontrar uma falha na cadeia de blocos, não é tão fácil mudá-la. Já está escrito na cadeia de blocos, não é como a web. Como com os hacks, uma vez que os fundos se foram, eles se foram. Portanto, é muito mais importante concentrar-se na segurança e na prevenção na fase inicial.”
Este é o lugar onde hacking ético (ou recompensas de bug) entra em jogo. A equipe Red4Sec oferece serviços tradicionais de segurança cibernética por muitos anos. Mas, apaixonados pela nova tecnologia e sempre em uma busca para aprender mais, eles começaram a analisar blockchains em 2017 e decidiram se concentrar em NEO.
Jaime lembra: “Através de nossa análise, encontramos algumas vulnerabilidades importantes e as relatamos ao NEO. Eles gostaram de como fizemos isso, eles nos deram compensação e um teste de três meses monitorando sua cadeia de blocos. Desde então, continuamos trabalhando com eles e com os desenvolvedores da Cidade de Sião também.”
Fernando interrompe: “Temos um relacionamento muito bom com eles agora, na verdade somos membros da Cidade de Sião e também somos membros da equipe de desenvolvimento do núcleo NEO. Estamos muito perto.”
Colocar-se no lugar de um hacker
Pergunto qual é a primeira coisa que eles fazem ao procurar maneiras de hackear uma cadeia de blocos. E para os leitores que não sabiam, é um mito que as cadeias de blocos não podem ser hackeadas. É só que o esforço vs recompensas compensações são maiores em algumas cadeias de blocos do que outros.
Hackear o blockchain Bitcoin, por exemplo, é tecnicamente possível, mas exigiria os recursos de um pequeno país e o pagamento seria menor do que a despesa. Bloqueio menores e, certamente, cadeias de blocos privadas são alvos muito mais fáceis.
Jaime continua: “O que fazemos é analisar o código do aplicativo, o contrato inteligente ou o próprio blockchain e garantir que não haja vulnerabilidades de segurança.
“Então fazemos uma fase auditorial.... Nós nos colocamos no lugar do hacker e tentamos pensar sobre como um hacker atacaria e como eles roubariam o dinheiro. Uma vez que tenhamos encontrado o caminho para entrar, corrigi-lo para que a janela de oportunidade se vá.”
Pensamentos finais
Bounties de bugs, hacking ético e qualquer tipo de programa que encontre falhas antes dos hackers é vital para a segurança contínua e evolução da tecnologia blockchain.
Empresas como a Red4Sec certamente têm muito trabalho considerando o grande volume de violações e hacks em trocas, blockchains e contratos inteligentes. No entanto, mesmo contemplando uma superfície de ataque cada vez maior, essa equipe não é dissuadida. Eles ainda acreditam que o blockchain é o futuro e que todos os aplicativos eventualmente migrarão para ele.
E enquanto há muitas brechas, Fernando termina com uma nota positiva: “Quando começamos na segurança blockchain, definitivamente vimos muitos projetos que eram relaxados com sua segurança e não olhamos para isso o suficiente. Temos visto muito mais conscientização sobre a segurança ultimamente, e está definitivamente melhorando.”
Disclaimer: The views and opinions expressed by the author should not be considered as financial advice. We do not give advice on financial products.