Empresas pagam até R$ 15 mil por falhas de segurança,
que chegam a valer R$ 150 mil no mercado negro

Mercado de vulnerabilidades cresce e pode ser tornar uma “mina de ouro”

Um defeito ou uma “porta aberta” em qualquer sistema instalado em seu computador pode significar uma tragédia completa:
perda irreparável de arquivos, senhas, além da destruição de boa parte de sua vida virtual.
Mas apesar de esse “monstro” assustar, ele se tornou uma poderosa moeda de troca no mercado digital.
As chamadas falhas de segurança são cada vez mais valorizadas e podem se transformar em uma “mina de ouro” para os mais espertos.



Uma falha de segurança é um defeito em um sistema, como um software,
que pode impedir o funcionamento de um programa de computador ou de um serviço oferecido.
Também conhecidas como vulnerabilidades ou “bugs”, as falhas são estratégicas para as empresas porque, se caem nas mãos de um cracker –
hacker que atua de forma ilegal ou sem ética – ele poderá invadir esse sistema ou serviço e acessar dados e informações privadas.
Por exemplo: se um banco usa um software que apresenta uma vulnerabilidade,
um cracker pode usar essa brecha para entrar no sistema e roubar informações.

De acordo com José Antonio Milagre, advogado especialista em direito digital,
30% dos sites apresentam falhas de segurança.

As grandes empresas possuem equipes que buscam por essas falhas,
mas boa parte delas é descoberta por hackers independentes,
também chamados de pesquisadores de segurança. Mas, se até o início dos anos 2000,
essas falhas eram publicadas em listas na internet ou repassadas diretamente para as empresas,
atualmente um mercado gira em torno disso.

Segundo Filipe Balestra, gerente do Laboratório de Pesquisa de Segurança da Cipher,
antigamente, quando se encontrava uma falha de segurança,
o pesquisador informava o erro diretamente à fabricante do produto.

- A empresa corrigia a falha e, quando publicavam a correção,
eles agradeciam quem tinha encontrado o erro e davam o crédito.

No entanto, diz Balestra, alguns pesquisadores começaram a reclamar que as empresas não os pagavam por isso.

- O ponto de vista deles era:
"a gente faz um serviço que a equipe de testes deles deveria fazer, mas ninguém dá nada por isso".

De olho na insatisfação dos hackers independentes e no valor das vulnerabilidades no mercado,
surgiram companhias intermediárias para fazer a ponte entre os pesquisadores e as fabricantes dos softwares.
O mercado cresceu tanto que, atualmente, os próprios fabricantes já estão comprando as vulnerabilidades, assim como alguns governos.
Se nenhum deles comprar, e dependendo de quem descobriu a falha, ela pode até parar no mercado negro.

Os caminhos das falhas de segurança

De acordo com Anchises de Paula, analista de inteligência da iDefense -
empresa que compra as falhas diretamente com os hackers independentes -,
o preço de uma vulnerabilidade depende de seu impacto no universo digital.
Se o erro for de um programa usado mundialmente, como o Windows, por exemplo,
a falha necessariamente vale mais.

- Eu pago mais para quem tem mais detalhes das falhas.
E as mais fáceis de serem exploradas também valem mais.
Pode chegar às vezes a US$ 10 mil (R$ 15,8 mil).

Um segundo caminho é informar o “bug” diretamente para a empresa.
Segundo Anchises, alguns hackers continuam repassando as falhas diretamente sem pedir remuneração em troca.
Nesse caso, as empresas correm atrás de uma correção para a falha e,
quando divulgam esse reparo, informam também o crédito do pesquisador.

Todos os especialistas consultados pela reportagem afirmaram também que os governos já entraram nesse mercado.
Mas, segundo Balestra, essa terceira opção ocorre sempre sob contrato de confidencialidade.

- Tem governos que estão montando equipes só para pesquisar falhas de segurança.
Virou um comércio. Hoje, se você encontrar uma falha, ao invés de mandar direto para a empresa,
você pode vender para o governo de um país.

E assim como todo mercado, esse é feito por “mocinhos” e “vilões”.
Anchises explica que, dependendo da pessoa que descobriu a vulnerabilidade,
ela pode até ser repassada para criminosos. É o chamado mercado underground.

- Os compradores do mercado criminoso encontram as falhas em fóruns.
Eles descobrem os pesquisadores e fazem uma abordagem.
Eles chegam a pagar US$ 100 mil (R$ 158 mil) e usam para roubar internet banking, invadir serviços, etc.

De olho nesse crescimento – e preocupadas com as falhas de segurança que podem ser descobertas -,
algumas fabricantes mundiais já estão abrindo as portas para os hackers independentes.
É o caso do Google e do Mozilla, fabricante do navegador Firefox.
Ambas criaram programas para receber as falhas e remunerar os pesquisadores que as encontram.

O Google paga entre R$ 790 e R$ 2.112 (US$ 500 e US$ 1.337) por falhas encontradas em seu navegador Google Chrome.
Já o Mozilla tem um programa, chamado Mozilla Security Bug Bounty Program,
que chega a pagar R$ 790 (US$ 500) por cada vulnerabilidade.
De acordo com a empresa, essa política serve para “encorajar a pesquisa de segurança
em seus produtos e para recompensar quem nos ajuda a criar
o ambiente mais seguro da internet”.

Fonte:r7