Conheça os hackers que ganham milhões para salvar a web, um bug de cada vez

Esses hackers estão encontrando bugs de segurança – e sendo pagos por isso. Isso está mudando a dinâmica da segurança cibernética

(ZDNET) – A primeira vez que Katie Paxton-Fear encontrou um bug, ela pensou que era apenas sorte. 

Uma de suas amigas a inscreveu em um evento em Londres, onde hackers buscam encontrar vulnerabilidades em um determinado software.

Sem qualquer experiência em segurança cibernética, além de ser programadora e desenvolvedora, ela encontrou um bug – e depois outro. “Para ser justa, achei que fosse um golpe de sorte”, diz ela. Mas desde então ela encontrou mais 30 bugs de segurança.

“É como interpretar Sherlock Holmes”, diz Paxton-Fear.

“Você se sente como um detetive, revirando e dizendo, ‘Isso parece interessante’, e tendo um fluxo de pistas”, diz ela. “E, quando você junta todas as peças perfeitamente, e funciona e há um bug aí – é a experiência mais emocionante de todas.”

Mas ao contrário de um hacker em busca de vulnerabilidades para causar danos ou roubar dados, Paxton-Fear é um caçador de recompensas de insetos. Os bugs que ela encontra são relatados às empresas que escrevem o código.

Isso permite que essas organizações resolvam os problemas antes que os hackers mal-intencionados encontrem os mesmos pontos fracos. E os caçadores de insetos são pagos por cada um que encontram.

Como tal, ela faz parte de uma indústria em crescimento que permite aos pesquisadores de segurança invadir o software das organizações – com sua permissão – e então relatar os pontos fracos que descobrem em troca de uma recompensa financeira.

É uma forma diferente de abordar a segurança do computador, mas está se tornando cada vez mais popular. Um recurso importante é que esses pesquisadores de segurança abordarão um alvo da mesma perspectiva de um invasor em potencial. 

Nesse sentido, os caçadores de recompensas de insetos são o detetive Holmes e também, pelo menos em parte, seu inimigo, o professor Moriarty; embora Paxton-Fear diga que se vê mais como Sherlock porque, ao encontrar os bugs e relatá-los, ela está ajudando a melhorar a segurança. 

“Estou fazendo a coisa certa”, diz ela.

Não que fazer a coisa certa tire a emoção: Paxton-Fear percebeu que estava tremendo quando escreveu o relatório para detalhar seu primeiro bug.

ENCONTRAR ERROS NO TRABALHO DE OUTRAS PESSOAS

Várias empresas agora executam seus próprios programas de recompensa por bugs, que permitem que os hackers relatem as falhas que encontram em seu software. Existem também empresas que organizam esses programas para empresas que não desejam executá-los internamente.

Paxton-Fear diz que o que ela descreve como “uma boa mesada” que ela ganha com recompensas por insetos é um motivador – mas não o único: “Para mim é um hobby, mas eu realmente gosto disso.”

No entanto, para alguns hackers, recompensas por bugs podem significar grandes dias de pagamento.

De acordo com o HackerOne, que organizou os eventos dos quais Paxton-Fear participou e organiza recompensas por bugs para grandes empresas e agências governamentais, nove hackers já ganharam mais de US $ 1 milhão cada um em recompensas por detectar vulnerabilidades.

Outros treze atingiram US $ 500.000 em ganhos vitalícios e 146 hackers já ganharam US $ 100.000 cada.

Os pesquisadores que estão hackeando a plataforma do HackerOne ganharam quase US $ 40 milhões em recompensas em 2019. Isso é quase igual aos US $ 82 milhões em recompensas que a empresa pagou em nome de seus clientes até o momento – e isso não leva em consideração os programas de recompensa por bugs corporativos que também estão pagando milhões por ano. 

Nada mal para encontrar erros no trabalho de outras pessoas.

Tommy DeVoss é um daqueles hackers que ganham nove milhões de dólares. Ele é um hacker reformado que se tornou um caçador de recompensas de insetos. DeVoss irá caçar bugs alguns dias por semana, procurando coisas que mudaram nos sistemas que ele tem como alvo, e talvez checando bugs antigos para ver se houve uma mudança que significa que a falha está de volta.

tommy-devoss-1.jpg

“O maior fator determinante é o fato de que estou fazendo isso há muito tempo e de ter visto tantas coisas. Fui um administrador de sistema e fui um desenvolvedor. Sei dos erros que cometem porque Eu cometi esses erros “, diz ele.

DeVoss diz que cada um dos nove hackers milionários perseguem um tipo diferente de bug.

“Nenhum de nós tem o mesmo conjunto de habilidades e acho que é por isso que todos somos capazes de ter sucesso ao mesmo tempo, em vez de lutar uns contra os outros pelos mesmos bugs”, diz ele.

E embora este grupo de elite de altos salários seja uma minoria. Para a grande maioria, as recompensas são muito menores; HackerOne disse que dos hackers que encontraram pelo menos uma vulnerabilidade, metade ganhou US $ 1.000 ou mais. Mas, para alguns hackers, a recompensa por bugs está se tornando uma fonte útil de suporte financeiro adicional.

Considerando que o hacking é frequentemente visto como um mundo sombrio e misterioso, há muitos dados sobre o que os hackers de recompensa de bugs ganham e o que os motiva. E nem sempre se trata de dinheiro.

EXPLICAÇÕES PARA MOTIVAÇÕES

Quase um quarto dos pesquisadores de segurança entrevistados pelo HackerOne disseram que toda a sua receita vem de hackers. Para mais da metade, pelo menos 50% de sua receita vem de hackers. A empresa disse que a recompensa média paga por uma vulnerabilidade crítica foi de US $ 3.650, enquanto o valor médio pago por vulnerabilidade é de US $ 979. 

Hacking é uma atividade relativamente jovem: mais de 80% têm menos de 35 anos e apenas metade de um por cento tem mais de 50 anos. E é muito masculino, com apenas 10% se identificando como mulheres ou não binárias.

Três quartos têm diploma ou pós-graduação em programação de computadores ou ciência da computação. Apenas 14% não possuem nenhum treinamento no assunto. No entanto, quando se trata de hacking, quase metade se descreve como autodidata.

Desenvolvendo programador Desenvolvimento de design de sites e tecnologias de codificação trabalhando no escritório da empresa de software

Os hackers também ganharam 38% a mais em pagamentos de recompensas em 2019 em comparação com 2018, de acordo com dados da Bugcrowd, outra empresa de programa de recompensas de bugs, que calcula que seus hackers evitaram US $ 8,9 bilhões em crimes cibernéticos ao encontrar e permitir que as empresas corrigissem bugs que de outra forma teriam permitido atacantes em seus sistemas.

Entre os outros dados que o Bugcrowd coletou está que os hackers parecem não acordar cedo: 73% fazem seus hackers à noite e apenas 13% o fazem pela manhã. Quase metade passa quatro horas ou menos trabalhando em bugs e apenas 8% super-hardcore trabalham mais de 30 horas por semana.

Os hackers parecem encontrar seu caminho para obter recompensas por meio de uma variedade de rotas.

Santiago Lopez, outro do grupo de elite de pesquisadores de um milhão de dólares do HackerOne, ficou intrigado com hackers depois de ver o filme Hackers e ganhou sua primeira recompensa por bug em 2016 – quando tinha 16 anos. Ele se tornou o primeiro hacker no a plataforma para ganhar um milhão de dólares em recompensas.

“Acima de tudo, ter a curiosidade de querer quebrar coisas e brincar vai realmente decidir se você foi feito para a vida de hacker”, diz ele.

Um filme também mostrou como Mico Fraxix se interessou por segurança de computadores, mas por um motivo um pouco diferente.

Ele trabalhava como engenheiro de TI quando a Sony Pictures foi hackeada pela Coreia do Norte , um ataque que provavelmente foi em resposta ao filme de comédia do estúdio, The Interview, que se passava no país.

Para a Fraxix, o incidente despertou interesse no mundo da segurança de computadores. Uma opção, ele percebeu, era se tornar um testador de invasão que investigaria as defesas de uma empresa, muitas vezes trabalhando para uma empresa de consultoria de segurança. Mas esse caminho era caro e exigia um diploma em segurança cibernética. A segunda opção era se tornar um caçador de recompensas de insetos, e ele passou a ser um dos mais bem-sucedidos do Bugcrowd.

“Quando li pela primeira vez online que é possível hackear empresas e não ser processado por isso, fiquei emocionado e surpreso”, disse ele e trabalhou em tempo integral como um caçador de recompensas de insetos antes de passar a trabalhar em testes de penetração – e pagar por o treinamento por meio da caça a insetos.

Então, o que torna um bom caçador de recompensas de insetos? Paxton-Fear considera que ser um desenvolvedor é uma grande vantagem.

“Tenho um senso inato de como faria isso e presumo que as pessoas pensam como eu”, diz ela.

“Uma das grandes habilidades na recompensa de insetos que é realmente difícil de ensinar é a intuição. Tudo o que faço estou seguindo minha intuição. É o que parece interessante e o que não parece certo.”

GRANDES RECOMPENSAS POR AJUDAR NA GRANDE TECNOLOGIA

Os programas de recompensa por insetos já existem há muito tempo. O pioneiro dos navegadores, Netscape, lançou o primeiro em 1995. Alguns anos depois, a Mozilla decidiu lançar um programa semelhante para permitir aos usuários relatar bugs em seu software – um programa que ainda funciona hoje.

A Mozilla começou com dinheiro suficiente para 10 recompensas, mas não sabia se a ideia iria decolar ou não.

“Somos a recompensa de bug de segurança mais antiga que ainda está em operação”, disse Daniel Veditz, engenheiro de segurança da equipe sênior da Mozilla. “Éramos uma empresa pequena e parecia uma boa maneira de encorajar as pessoas a examinar os problemas de segurança.”

Mas, desde o início modesto, o programa de recompensa de bugs da Mozilla cresceu. Entre 2017 e 2019, a Mozilla pagou quase um milhão de dólares – $ 965.750 para ser preciso – a pesquisadores que relataram 348 bugs, com um pagamento médio de $ 2.775 por bug. O fabricante do navegador Firefox pagará entre US $ 3.000 e US $ 10.000 para pesquisadores que detectarem vulnerabilidades críticas e de alto nível de segurança de clientes potencialmente exploráveis.

Mas, para a Veditz, ter um programa de recompensa por bug também é um sinal sobre a atitude de uma empresa em relação à segurança. Isso mostra que a empresa dá as boas-vindas aos pesquisadores de segurança e valoriza seu trabalho. “Queremos enviar um sinal – nós nos importamos, por favor, venha se incomodar. Se você encontrou algo, isso ajuda a todos.”

E, após os primeiros experimentos da Netscape e Mozilla, muitas outras grandes empresas de tecnologia o seguiram. Agora, recompensas de bug são oferecidas em qualquer coisa, de bugs em sites a serviços em nuvem, software de negócios ou aplicativos móveis.

“Começamos como um experimento e não havia ninguém por perto para nos encorajar ou nos comparar”, diz Veditz. “Ao longo do caminho, muitas outras pessoas decidiram que é uma boa ideia e nos imitaram e nos ultrapassaram na quantidade de dinheiro que podem pagar às pessoas.”

Entre os grandes gastadores em recompensas por insetos estão alguns dos maiores gigantes da tecnologia. A Microsoft agora oferece recompensas para pesquisadores de segurança que encontram vulnerabilidades em uma variedade de seus produtos, do Microsoft Azure ao Xbox, do Microsoft Dynamics 365 ao seu novo navegador Edge.

No início deste ano, a Microsoft disse que gastou US $ 13,7 milhões em recompensas nos últimos 12 meses – mais de três vezes os US $ 4,4 milhões que gastou no ano anterior . É um número grande, mas também o são os prêmios em potencial para indivíduos. Um pesquisador que descobrir uma execução remota de código crítica, divulgação de informações ou vulnerabilidade de negação de serviço no Hyper-V da Microsoft pode ganhar até US $ 250.000, enquanto relatórios de vulnerabilidade nos serviços de nuvem do Microsoft Azure podem render US $ 40.000.

A Microsoft também observou que, com muitos incapazes de deixar suas casas devido aos bloqueios do COVID-19, os caçadores de recompensas de insetos estão ocupados. Em todos os 15 programas de recompensa, ele viu um aumento nos relatórios de bug durante os primeiros meses da pandemia.

O Google é outro grande gastador em recompensas por insetos, gastando um total de US $ 21 milhões desde que lançou seus programas de recompensa de vulnerabilidade, há uma década, incluindo US $ 6,5 milhões em 2019 – o dobro do que havia pago anteriormente em um único ano.

Ele também tem um grande potencial de recompensas em oferta, com um prêmio máximo de $ 1 milhão por um “exploit de execução remota de código de cadeia completa com persistência” que compromete o chip seguro Titan M em dispositivos Pixel. E se a exploração ocorrer em versões específicas do Android para desenvolvedores, há um bônus de 50%, elevando a recompensa para até US $ 1,5 milhão .

Depois que esses gigantes lançaram programas de recompensa por bugs, muitas outras empresas de tecnologia viram os benefícios da abordagem, tornando-a uma opção comum. Mas, nos últimos anos, a moda de recompensas por insetos se espalhou além da tecnologia – agora, muitas grandes empresas oferecem algum tipo de recompensa. Isso se deve em grande parte ao Departamento de Defesa dos EUA, que lançou seu Hack the Pentagon em 2016 como o primeiro programa de recompensa de bugs do governo federal , que desde então permitiu identificar – e corrigir – milhares de vulnerabilidades de segurança em sistemas voltados ao público.

FICANDO OS OLHOS NO PRÊMIO

Então, por que o código tem falhas em primeiro lugar?

Parte do problema é a maneira como o software é escrito. Geralmente é escrito com pressa, com um prazo se aproximando e o chefe subindo e descendo. É escrito por várias equipes com experiências ligeiramente diferentes e diferentes habilidades e prioridades. Essas equipes, então, terão que, de alguma forma, fundir esses projetos e garantir que o resultado final seja seguro.

paxtonfear.png

Mas então, provavelmente, os objetivos do projeto mudarão e um novo recurso será necessário, o que significa que um novo código será adicionado no topo. E então, talvez um ou dois anos depois, muito depois que a equipe de desenvolvimento original mudou, um recurso precisará ser alterado ou removido, o que significa uma nova equipe de desenvolvedores tentando entender e modificar toda a torre inclinada do código. E este é o melhor cenário para desenvolvimento em muitos casos. Não é de admirar que os hackers encontrem brechas pelas quais possam se infiltrar.

Paxton-Fear diz que parte do problema é que o desenvolvimento de software é muito complexo e envolve várias equipes. 

“Você tem todos os tipos de desenvolvedores diferentes que tocam em um pedaço de software. Você tem tempo de desenvolvimento que muitas vezes é muito apertado para um recurso. Como desenvolvedor, você só quer lançar recursos no prazo. Você está passando código e pequenas coisas pode passar despercebida o tempo todo – é uma pena que alguns deles acabem sendo enormes riscos à segurança “, diz ela.

Os benefícios para os pesquisadores são a chance de vasculhar os sistemas de outras pessoas – algo geralmente desaprovado, na melhor das hipóteses – ao mesmo tempo em que é pago e talvez se torne uma celebridade hacker.

Para as empresas que usam programas de recompensa de bugs, o benefício vem de poder fazer com que muitos hackers experientes examinem seu código exatamente da mesma maneira que os invasores fariam – mas sem o risco – e paguem apenas se encontrarem algo.

O GitLab lançou um programa privado de divulgação de vulnerabilidades em 2014 e, desde então, mudou para um programa público com o HackerOne . Já pagou um milhão de dólares para 768 repórteres de bugs.

“O principal valor que obtemos disso é a redução do risco – esse é o objetivo final”, diz James Ritchey, gerente de segurança de aplicativos do GitLab. “Para fazer isso, precisamos estar cientes de nossos problemas de segurança – e que melhor maneira de fazer isso do que ter mais olhos no produto. Isso ajuda a escala de nossa equipe de segurança.”

É também um reconhecimento da realidade da segurança do computador e da ameaça que toda organização enfrenta quando tem sistemas expostos à Internet.

“Ignorância não é uma bênção em segurança, então realmente queremos saber sobre essas questões de segurança e todos esses olhos podem nos dar uma perspectiva melhor. A verdade é que, no momento em que você está na internet, você é meio que um alvo aberto de qualquer maneira . Nesse ponto, é melhor fazer uma saída financeira para esses hackers, porque eles vão hackear de qualquer maneira “, diz ele.

TRANSFORMANDO UM HOBBY EM UMA CARREIRA

Prash Somaiya, gerente de programa técnico da HackerOne, diz que os programas de recompensa por bug que organiza dão às empresas acesso a habilidades que não teriam acesso fácil de outra forma. Algumas empresas têm uma infraestrutura tão extensa que é difícil para elas até mesmo entender onde seus próprios sistemas estão – quanto mais testá-los para segurança.

Ele diz que a principal diferença entre contratar consultores para fazer testes de penetração e criar um programa de recompensa por insetos é que os pesquisadores não estão sendo pagos por seu tempo e você não está pagando uma taxa por hora para que eles encontrem os bugs – é tudo uma questão de entrega resultados.

“A segurança é uma fera em evolução. Cada organização tem vulnerabilidades presentes em seu software, não importa o que aconteça, e trata-se de reconhecer isso e trabalhar com a comunidade de segurança para descobrir essas falhas”, diz ele. “Se essas vulnerabilidades estiverem disponíveis na Internet, elas podem ser encontradas e exploradas.”

Conceito de crime informático

No entanto, um programa de recompensa de bug não é um substituto para as formas mais tradicionais de teste de segurança, mas um acréscimo, adverte Veditz da Mozilla: “Existem empresas que entram em um programa de recompensa de bug pensando que ele é um substituto para garantia de qualidade ou teste ou um programa de segurança – e esse é um caminho para o desastre. “

Alguns críticos alertam que os programas de bug estão sendo usados ​​como um esparadrapo quando, na verdade, as organizações precisam repensar fundamentalmente como escrevem códigos. Eles dizem que as empresas não devem depender de estranhos – muitos são autodidatas e fazem isso por diversão ou trabalhando em economias de baixo custo, onde o dinheiro das recompensas vai mais longe – para consertar erros básicos que as equipes internas deveriam ter detectado. 

Eles argumentam que as empresas devem garantir que seus processos de desenvolvimento interno estimulem a codificação segura, em vez de adicionar segurança em uma reflexão tardia ou na esperança de que hackers externos possam corrigir o problema posteriormente.

Levando em consideração o tempo adicional do desenvolvedor, o custo do programa de recompensa de bug e o custo de qualquer violação de segurança potencial nesse ínterim, garantir que o código esteja seguro antes de ser publicado sempre será muito mais barato do que consertá-lo depois. 

Além disso, para configurar um programa de recompensa de bug sem ter os desenvolvedores no local que podem realmente rastrear e corrigir os bugs descobertos – o que é uma habilidade muito diferente de encontrá-los em primeiro lugar – significa que a segurança provavelmente não será melhorada como um resultado. Pode até piorar as coisas, criando uma falsa sensação de segurança. 

Na verdade, os programas de recompensa de bugs não são a resposta para todos os problemas e podem criar alguns dos seus próprios. Alguns pesquisadores não querem se envolver neles porque alguns programas limitam sua capacidade de compartilhar as vulnerabilidades que descobrem, algo que seria um benefício para todos os usuários desse software específico, e também os ajudaria a construir sua própria reputação. 

Há também uma crítica mais ampla ao modelo – que, como muitos outros modelos de crowdsourcing, as recompensas são difíceis de ganhar. Existem relativamente poucos hackers que ganham muito dinheiro. 

Essa pressão econômica talvez seja parte da razão por trás da disseminação geográfica de pesquisadores em busca de recompensas por insetos. Para o Bugcrowd, 80% das recompensas são de empresas americanas, mas 34% são pagos a pesquisadores indianos – em comparação com 26% que vão para pesquisadores americanos.

Para o HackerOne, quase 90% das recompensas vêm dos Estados Unidos e, embora os hackers dos Estados Unidos obtenham a maioria, os pesquisadores da Índia, Rússia e China também se saem bem. Isso significa que as recompensas por insetos podem, em alguns aspectos, evoluir para uma torção crowdsourced do modelo estabelecido de terceirização offshore. 

O pagamento por resultados mantém os custos baixos, mas também pode encorajar os pesquisadores a se concentrarem em falhas mais fáceis de detectar que podem descobrir usando ferramentas automatizadas, em vez de aquelas que podem levar muito mais tempo e esforço, criando ainda uma falsa sensação de segurança.

E também vale a pena lembrar que, para a maioria dos participantes, a caça ao bug é um passatempo divertido. Alguns podem se perguntar se é sensato para as maiores organizações do mundo confiar em amadores para sua segurança online. 

Mais positivamente, muitos hackers veem provar suas proezas como caçadores de bugs como uma rota para a indústria de segurança, que está desesperada por talentos. Se a recompensa por bugs puder demonstrar que eles têm um papel na criação de uma rampa de acesso para novos profissionais de segurança – como fizeram para o Fraxix – então algumas das críticas podem ir embora.

HACKING É UM ESPORTE DE EQUIPE

Uma coisa que pode surpreender quem está de fora é a quantidade de cooperação entre os hackers. Mesmo que apenas um deles seja capaz de reivindicar qualquer recompensa em particular, a comunidade de hackers bug bounty compartilha abertamente a maioria das informações, diz DeVoss.

“Uma das principais partes de se tornar bom quando se trata de hacking e recompensas de bugs é que sempre haverá pessoas mais inteligentes do que você, que sabem mais do que você ou que sabem coisas diferentes do que você”, diz ele. “Eu faço isso por dinheiro, mas não sou ganancioso, então não me importo que outras pessoas ganhem dinheiro também.”

Paxton-Fear concorda: “Sei que, se tiver um problema, posso pedir ajuda a 10 pessoas diferentes e confiar em seus conhecimentos, e muitas vezes elas não vão pedir dinheiro de volta – elas só querem ajudar. Todos percebe como foi começar. “

Design do site.  Desenvolvimento de tecnologias de programação e codificação.

A recompensa pelos insetos já percorreu um longo caminho desde o dia do primeiro experimento do Netscape. Eles agora fazem parte do mainstream da indústria de segurança. Assim, à medida que aumenta o número de aspirantes a hackers – e empresas confortáveis ​​em empregá-los -, como isso muda o mundo da recompensa de insetos?

“Hackear sempre será uma boa oportunidade para pessoas que não querem seguir uma carreira corporativa tradicional e querem a flexibilidade que vem com o território”, diz Lopez, acrescentando que à medida que aumenta a conscientização sobre o bug bounty hacking, isso certamente se tornará menos nicho, o que significa mais competição.

Os desenvolvedores também estão ficando mais espertos, o que significa que alguns dos bugs mais fáceis agora são mais difíceis de encontrar.

As empresas amadureceram drasticamente nos últimos anos, diz Fraxix: “Antigamente era fácil comprometer marcas e empresas famosas, mas, hoje em dia, é muito mais difícil. As empresas estão mais bem preparadas e suas equipes de desenvolvimento são mais bem treinadas.”

Isso é especialmente verdadeiro quando as organizações vêm executando recompensas por bugs há algum tempo.

Ritchey do GitLab diz que quando executou o programa pela primeira vez, havia descobertas muito diretas que eram muito fáceis de reproduzir.

“Hoje em dia, é muito mais complexo. O fato é que estamos constantemente lançando novos recursos e atualizando nosso próprio software e, por causa disso, os problemas de segurança nunca irão embora. Os problemas de segurança sempre estarão lá – o importante é ter um sistema multicamadas abordagem a ele. “

A MELHOR DEFESA CONTRA O PIOR PROBLEMA

E com certeza, os tipos de vulnerabilidades que estão sendo caçadas mudaram. Quando as primeiras recompensas por bug foram lançadas, a nuvem e os smartphones não existiam. No entanto, essas áreas são onde algumas das maiores recompensas agora podem ser marcadas. 

Mas esse foco pode ser uma incompatibilidade para o modelo de negócios de recompensa de bugs, porque a maioria dos hackers se concentra na segurança da Web, em vez de nessas áreas mais complicadas que geralmente exigem habilidades e experiência adicionais. Na pesquisa mais recente do Bugcrowd, por exemplo, 70% dos hackers listaram habilidades de teste de aplicativos da web, mas apenas 3% listaram habilidades de aplicativos Android.

Ainda assim, ninguém espera seriamente que a segurança do computador melhore a ponto de as recompensas de bugs – ou todas as outras técnicas usadas para testar o código uma vez escrito – serem retiradas em breve.

“Não acho que vai ficar mais difícil … Acho que vai ficar diferente”, diz Paxton-Fear. Embora alguns anos atrás a caça ao bug fosse sobre falhas específicas, como script entre sites e injeções de JavaScript, agora os desenvolvedores sabem desses problemas.

Mas, graças à Internet das Coisas , o número de dispositivos com algum tipo de poder de computação conectado continua a se expandir, o que significa alvos novos e incomuns para pesquisadores, como uma geladeira conectada à Internet.

“Com certeza há insetos na sua geladeira”, diz Paxton-Fear. “Não há esse final em que os desenvolvedores de repente conhecem cada bug – apenas muda. Não é que haja menos bugs, são apenas os bugs que estão em lugares diferentes.”

Veditz da Mozilla concorda; os hackers encontram bugs porque chegam ao código com uma abordagem externa, e isso não vai mudar.

“Enquanto houver bugs no software, haverá bugs de segurança e alguém terá que encontrá-los. Recompensas de bugs são uma boa maneira de encorajar uma visão externa. As recompensas de bugs como conceito estão aqui para ficar por um futuro previsível até que tenhamos robôs perfeitos escrevendo nosso código que não cometem erros. “

Mesmo robôs perfeitos provavelmente não tornarão os caçadores de recompensas de insetos redundantes, de acordo com DeVoss, que argumenta que não existe um sistema de computador 100% seguro – a menos que o computador seja desligado.

Por causa da maneira como o software é escrito – ao longo dos anos, em alguns casos, por equipes contribuindo com diferentes elementos e adicionando novos recursos ao longo do tempo – o código que parece seguro em um ponto pode desenvolver problemas ao ser alterado em uma data posterior.

“Enquanto ainda tivermos humanos escrevendo o código, haverá erros. E mesmo quando chegarmos onde a IA começa a escrever código e encontrar bugs, eles ainda estarão lá. Só porque algo parece seguro hoje não quer dizer que daqui a um mês, seis meses, um ano, ou daqui a cinco anos, seja encontrado algo que quebra tudo ”, afirma.

Lopez tem uma visão semelhante; não espere que as IAs que escrevem um código perfeito coloquem pessoas inteligentes fora do mercado, ele diz: “Sempre haverá a necessidade de hackers. Mesmo com IA e segurança incorporadas desde o início, sempre haverá pessoas que querem quebrar e quem vai aprender a manipular a IA para fazer isso. Os hackers humanos são a melhor defesa contra os ataques mais sofisticados. “

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *