Caçadores de bugs ainda preferem manter as suas descobertas secretas do que vendê-las à Apple

Photo of Caçadores de bugs ainda preferem manter as suas descobertas secretas do que vendê-las à Apple
Facebook
VKontakte
share_fav
Ilustração mostrando um inseto na cabeça de uma pessoa olhando por um binóculo

Há pouco menos de um ano, a Apple iniciou um programa de recompensas para pagar hackers e pesquisadores que descobrissem bugs ou falhas nos seus sistemas e relatassem os achados à empresa para correção — e foi bem atrasada nisso, considerando que todas as outras grandes companhias de software já ofereciam algo parecido há muito mais tempo. Ainda assim, inicialmente, as reações à novidade foram de animação na comunidade de pesquisadores de software e parecia que estava iniciando-se uma nova era de boas relações — financeiras, inclusive — da Apple com esses profissionais.

Um ano depois, entretanto, a coisa não parece estar indo tão bem assim — ao menos de acordo com esta reportagem da Motherboard. Segundo a matéria, os hackers e pesquisadores continuam a não relatar os bugs descobertos nos sistemas da Apple à empresa, preferindo guardar os achados para si mesmos ou vendê-los a outros hackers — que podem ou não utilizá-los para fins maliciosos.

A razão é simples: a natureza fechada dos sistemas da Maçã (mesmo o macOS, que apresenta um nível de abertura bem maior do que os seus “sistemas-irmãos”, ainda é muito mais protegido que o Android ou o Windows, por exemplo) torna a tarefa de encontrar falhas neles bastante árdua; basicamente, você precisa de um bug “originário” (uma porta de entrada, digamos) para invadir as entranhas do sistema e descobrir outros lá dentro. Ou seja, se você relata à Apple um desses bugs “originários”, a Maçã paga o valor que lhe é devido, vai lá e fecha aquela porta — e torna o trabalho dos pesquisadores muito mais complicado.

É muito mais vantajoso para os hackers, portanto, manter esses bugs sob as suas próprias cortinas e/ou vendê-los para parceiros; desta forma, as grandes falhas permanecem ocultas e eles lucram com descobertas de bugs secundários, que geram recompensas menores mas vêm em muito maior número. É como afirma Patrick Wardle, ex-hacker da NSA1 e atual pesquisador da Synack que foi convidado ao programa de recompensas da Apple: segundo ele, os bugs são “muito valiosos para serem relatados à Apple”.

O consenso parece ser geral: a reportagem perguntou a oito hackers de alto nível que participam do programa de recompensas e todos eles afirmaram não terem relatado nenhum bug à Apple até agora e tampouco conhecerem algum colega que já o tenha feito. Portanto, ao que parece, os cofres da Maçã não sofreram o mínimo abalo com o início do programa — mas os seus sistemas continuam com algumas falhas circulando por aí, sabe-se lá de que nível de gravidade.

Qual a solução, então? Alguns hackers sugerem que a Apple deve aumentar o valor das recompensas pagas pelas descobertas, que atualmente variam entre US$25 mil e US$200 mil de acordo com a gravidade da falha — o que parece muito, mas é basicamente um troco comparado ao US$1,5 milhão pago pela Zerodium (firma de segurança) por um conjunto de bugs que permita o jailbreak do iOS 10. Outra solução sugerida é que a Maçã forneça aos hackers do programa dispositivos iOS ou Macs desprovidos de algumas restrições de segurança para que a pesquisa seja feita com mais eficácia — este pedido, inclusive, já foi feito à Apple anteriormente… e, como vocês devem imaginar, foi sumariamente negado.

Portanto, por enquanto, parece que dependeremos exclusivamente da boa vontade dos hackers e pesquisadores que estejam no programa — já que, da parte da Apple, não parece estar havendo um grande interesse em incentivar mais o trabalho deles.

ver Mac Magazine
#programa
#bug
#pagamento
#bugs
#segurança
#programa de recompensas
#vulnerabilidades
#zerodium