O que é bug bounty e CTF.
A discussão sobre segurança da informação tem ganhado cada vez mais espaço ao redor do mundo com a crescente taxa de digitalização do mercado. A indústria 4.0 trouxe consigo a atenção para esse setor, salientando o quanto pode ser destrutivo para empresas e organizações não tratar de sua cybersecurity com o devido asseio.
A grande carência por profissionais da área apontam para uma grande defasagem, onde estima-se que no país, exista um déficit profissional com número que supera a casa dos 440 mil agentes de cibersegurança. Isso significa que há espaço suficiente para que um hacker qualificado atue em condições de mais alto nível, podendo inclusive optar por maneiras alternativas à contratação convencional para realizar seu trabalho e ser muito bem remunerado por isso.
Falaremos aqui um pouco sobre o conceito de crowdsourcing, e como agentes de segurança da informação ganham muito dinheiro com essa abordagem aplicada por empresas, que se dispõem a pagar altos valores para hackers que consigam explorar sua penetrabilidade e reportar bugs e imperfeições na segurança, para que possam posteriormente serem corrigidos.
Cybersegurança crowdsourced
O termo crowdsourcing (junção de crowd e outsource) é um conceito desenvolvido para representar o sistema de segurança aprimorado através da colaboração voluntária de um grupo público ou seleto de white hats. Essa crowd através de programas de remuneração, busca por falhas de segurança e de desempenho antes que sejam exploradas de maneira maliciosa, fornecendo assim uma base para implementações e criação de novas camadas de proteção.
Nesse modelo, há a combinação de esforços voluntários, que se somam a uma parte maior do escopo construindo um elemento mais complexo e funcional em sua defesa e operação.
Então, crowdsourcing em cybersecurity trata-se de uma ampla rede de pesquisadores terceirizados (crowd), que fornecem dados (outsourcing) para evolução da robustez do sistema de segurança integrado ao ambiente em questão.
Esse tipo de medida é normalmente adotado por grandes empresas como Google, Microsoft e Facebook, que já possuem um sistema de segurança robusto e mesmo assim procuram ampliar sua cibersegurança através da contratação indireta de pesquisadores/hackers, que serão remunerados de acordo com a gravidade do problema encontrado e os potenciais riscos que poderiam se suceder desse exploit.
O que é Bug Bounty?
Os bug bounty funcionam como uma “caça aos bugs”. Então, trata-se de programas de recompensas para white hats que encontram falhas em um determinado escopo.
Grandes empresas que atuam na área de tecnologia aderem ao modelo de crowdsourcing através de programas de bug bounty por ser uma estratégia relativamente barata para grandes corporações, isso é, se considerarmos que poderiam ter seus negócios destruídos por um hacker anônimo do lado oposto do planeta, o que seria incalculavelmente mais caro.
A implementação desse tipo de programa de recompensas tem chamado a atenção de curiosos e profissionais da área de tecnologia, já que através deles podem testar e aprimorar seus conhecimentos e ainda serem altamente remunerados por isso.
A carência de qualificação para a área é tanta, que grandes empresas saem na frente e promovem os próprios treinamentos e eventos para testar e evoluir as capacidades daqueles que decidem ingressar ou já atuam na área. Essas empresas então promovem eventos de Capture the Flag com prêmios em dinheiro para incentivar pesquisadores que são testados e ranqueados de acordo com a sua performance nesses eventos.
O que é CTF?
CTF, ou “pegue a bandeira” em tradução livre, é um tipo especial de competição de segurança da informação. Sua proposta, como sugere o nome, é a busca por palavras-chave escondidas através de camadas de segurança dentro de um ambiente simulado ou real. Normalmente possuem um limite temporal, porém existem eventos que estão disponíveis sem esse tempo preestabelecido, esses normalmente são voltados apenas para a prática de habilidades e não possuem prêmios em dinheiro.
Um evento de Capture the Flag consiste basicamente em uma série de desafios envolvendo engenharia reversa, esteganografia ,corrupção de memória, criptografia , tecnologias web e outras manobras de segurança digital. Normalmente, participam desses eventos times compostos de especialistas dessas mais diversas áreas, já que é pelo menos improvável que um único agente tenha domínio completo de todas as ferramentas que existem e são utilizadas. Tipicamente, o objetivo destas competições é obter o maior número de bandeiras no menor tempo possível.
Eventos de CTF podem ser divididos em três tipos:
Jeopardy
Esse tipo de evento é o mais comum e consiste basicamente em uma série de desafios e questões divididas em diversos temas específicos, onde um time acumula pontos à medida que conclui as tarefas propostas. Como seria de se esperar, para desafios mais complexos também são atribuídas pontuações maiores. As equipes concluem os desafios disponíveis através da recuperação das flags, e então mais desafios são apresentados até que todos sejam concluídos e seja determinada uma equipe vencedora por obter uma somatória maior de pontos que seus concorrentes.
Attack-deffense
Esse tipo de CTF, como o nome propõe, consiste em movimentos de ofensiva e defensiva (red team e blue team), através dos quais equipes competem entre si testando suas próprias habilidades uns contra os outros. Normalmente os participantes possuem sua própria rede ou máquina e devem, dentro de um tempo predeterminado, desenvolver sua segurança até que seja dada a ordem para que possam atacar umas às outras. Ganha-se pontos defensivos através da mitigação de ataques e correção de vulnerabilidades, e pontos ofensivos através de intrusões na network adversária.
Network king of the Hill (NetKotH)
Apesar do nome parecer complicado, trata-se de um modelo muito semelhante ao anterior, onde a maior diferença é a existência de uma única máquina principal, que deve ser conquistada e mantida pelas equipes. O modelo NetKotH consiste em um “rei do monte”, onde o rei seria a equipe que detém acesso a máquina ou servidor principal, devendo defender seu posto das demais equipes que se esforçam para tomar sua posição e se tornar o próximo líder.
Existem também outras modalidades de CTF, que variam de acordo com o objetivo do grupo organizador do evento. Mas por enquanto e a título educativo, vamos manter apenas esses três principais em nossa mente.
Agora que conhece um pouco mais sobre a vida de um hacker ético, você deve estar curioso sobre onde procurar pelos melhores eventos de CTF e como começar a procurar bugs e ser pago por grandes empresas pelos seus relatórios. Você pode dar uma olhada em CTF’s que estão rolando em tempo real e qual os maiores times e suas pontuações através do site da CTF Time.
E se você ainda não entende muito sobre segurança da informação, ou gostaria de ampliar seus conhecimentos na prática, ou até mesmo já sabe um pouco e gostaria de expandir seus conhecimentos na área, nós da Solyd oferecemos cursos de pentest que vão do básico ao avançado.