A Apple paga aos hackers seis dígitos para encontrar bugs em seu software.

Falta de comunicação, confusão sobre pagamentos e longos atrasos deixaram os pesquisadores de segurança fartos do programa de recompensa por bugs da Apple

Reed Albergotti do Washington Post

Na esperança de descobrir fraquezas ocultas, há cinco anos a Apple convida hackers a invadir seus serviços e seus icônicos telefones e laptops, oferecendo até US$ 1 milhão para aprender sobre suas falhas de segurança mais sérias.

Em toda a indústria de tecnologia, programas similares de “recompensa por bugs” se tornaram uma ferramenta valiosa para manter a segurança —
uma maneira de encontrar vulnerabilidades e encorajar os hackers a relatá-las em vez de abusar delas.

Mas muitos que estão familiarizados com o programa dizem que a Apple é lenta para corrigir os bugs relatados e nem sempre paga aos hackers o que eles acreditam ser devidos. Em última análise, dizem eles, a cultura insular da Apple prejudicou o programa e criou um ponto cego na segurança.

“É um programa de recompensa por Bugs em que a casa sempre vence”, disse Katie Moussouris, CEO e fundadora da Luta Security, que trabalhou com o Departamento de Defesa para criar seu primeiro programa de recompensa por bugs. Ela disse que a má reputação da Apple na indústria de segurança levará a “produtos menos seguros para seus clientes e mais custos no futuro”.

A Apple disse que seu programa, lançado em 2016, é um trabalho em andamento. Até 2019, o programa não foi oficialmente aberto ao público, embora pesquisadores digam que o programa nunca foi exclusivo.

“O programa Apple Security Bounty tem sido um grande sucesso”, disse Ivan Krstic, chefe de Engenharia e Arquitetura de Segurança da Apple, em comunicado enviado por e-mail. A Apple quase dobrou o valor que pagou em recompensas por bugs este ano em comparação com o último ano, e lidera a indústria no valor médio pago por recompensa, disse ele.

“Estamos trabalhando duro para dimensionar o programa durante seu crescimento dramático e continuaremos a oferecer as melhores recompensas aos pesquisadores de segurança que trabalham conosco lado a lado para proteger nossos usuários e seus dados em mais de um bilhão de dispositivos Apple em todo o mundo,” adicionou ele.

Em entrevistas com mais de duas dezenas de pesquisadores de segurança, alguns dos quais falaram sob condição de anonimato por causa de acordos de sigilo, as abordagens feitas pelos rivais da Apple foram suspensas para comparação.

O Facebook, a Microsoft e o Google divulgam seus programas e destacam pesquisadores de segurança que recebem recompensas em postagens de blogs e tabelas de classificação. Eles realizam conferências e fornecem recursos para incentivar a participação de um amplo público internacional.

E a maioria deles paga mais dinheiro a cada ano do que a Apple, que tem sido a empresa mais valiosa do mundo. A Microsoft pagou US$ 13,6 milhões no período de 12 meses com início em julho de 2020. O Google pagou US$ 6,7 milhões em 2020. A Apple gastou US$ 3,7 milhões no ano passado, disse Krstic em seu comunicado. E esse número deve aumentar neste ano, segundo Krstic.

No entanto, os valores de pagamento não são a única medida de sucesso. Os melhores programas suportam conversas abertas entre os hackers e a empresa. A Apple, já conhecida por ser calada, limita a comunicação e o feedback sobre por que opta por pagar ou não por um bug, de acordo com pesquisadores de segurança que enviaram bugs ao programa de recompensas e um ex-funcionário que falou sob condição de anonimato por causa de um acordo de sigilo.

A Apple também tem um grande acúmulo de bugs que não foram corrigidos, de acordo com o ex-funcionário e um funcionário atual, que também falou sob condição de anonimato por causa de um NDA.

“Você precisa ter um mecanismo interno de correção de bugs saudável antes de tentar ter um programa de divulgação de vulnerabilidade de bugs”, disse Moussouris, que ajudou a criar o programa de recompensa de bugs da Microsoft. Ela diz que pergunta aos clientes em potencial: “O que você espera que aconteça se eles relatarem um bug que você já conhecia, mas não corrigiu? Ou se eles reportarem algo que leva 500 dias para consertar?”

A natureza hostil de seu programa de recompensa por bug desencorajou alguns pesquisadores de segurança de apontar falhas para a Apple, disseram essas pessoas. Isso levou alguns a vendê-los para clientes do “mercado cinza”, como agências governamentais ou empresas que vendem serviços sofisticados de hacking, ou abrir o capital sem notificar a Apple, o que poderia colocar os clientes em risco.

Cedric Owens, 39, no início deste ano optou por contar à Apple quando encontrou uma falha enorme que permitia que hackers instalassem software malicioso em computadores Mac, contornando as medidas de segurança da Apple. Patrick Wardle, especialista em segurança do Mac, disse em um blog que a vulnerabilidade colocava os usuários do Mac “em grave risco”. E a Jamf, uma empresa de segurança cibernética, disse que encontrou evidências de que os hackers já o estavam usando.

O programa de recompensa por bug da Apple oferece US$ 100.000 por ataques que obtenham “acesso não autorizado a dados confidenciais”. A Apple define dados confidenciais como acesso a contatos, e-mail, mensagens, notas, fotos ou dados de localização. Embora o hack de Owens não permitisse o acesso a essas áreas específicas, Owens e outros na indústria argumentaram que os dados que os hackers estavam obtendo eram, de fato, confidenciais. Owens criou um ataque hipotético que deu aos hackers acesso aos arquivos da vítima. Ele disse em uma entrevista que isso poderia hipoteticamente permitir que hackers acessassem servidores corporativos, se o computador de destino fosse usado por uma empresa. Isso seria valioso em uso para ataques de ransomware, por exemplo.

A Apple pagou ao pesquisador de segurança de Charlotte US$ 5.000, ou 5% do que Owens acreditava que ele merecia, disse ele. A Apple se recusou a reconsiderar. Embora ele tenha dito que continuará a enviar bugs, apesar de um pagamento maior no mercado cinza, outros pesquisadores provavelmente não o farão. A Apple se recusou a comentar sobre a recompensa por bugs de Owens.

“O resultado final pode ser mais lacunas nos processos da Apple e nos produtos que estão lançando”, disse ele.

Krstic, da Apple, disse que a empresa obteve feedback e “continuará a dimensionar e melhorar” seu programa de rápido crescimento, reduzindo os tempos de resposta e melhorando a comunicação.

“Também estamos planejando apresentar novas recompensas para os pesquisadores continuarem a expandir a participação no programa e continuamos a investigar caminhos para oferecer ferramentas de pesquisa novas e ainda melhores que atendam ao nosso modelo de segurança de plataforma rigoroso e líder do setor”, acrescentou.

A segurança dos produtos da Apple, especialmente iPhones, está sob mais escrutínio após revelações neste verão do Projeto Pegasus, uma pesquisa do jornal The Washington Post e 16 outras organizações de mídia que mostrou como o software licenciado pela empresa israelense NSO Group foi usado para hackear telefones pertencentes a defensores dos direitos humanos, jornalistas e políticos. A investigação descobriu evidências forenses de tentativas de hacks bem-sucedidos ou em 34 iPhones, incluindo os modelos mais recentes com as atualizações mais recentes.

“A Apple condena inequivocamente os ciberataques contra jornalistas, ativistas de direitos humanos e outros que buscam tornar o mundo um lugar melhor”, disse Krstic em um comunicado na época.

Krstic pressionou para que o programa da Apple fosse implementado em 2016, quando alguns pesquisadores foram autorizados a enviar bugs em troca de pagamento. Em 2019, a Apple abriu o programa para todos os pesquisadores e anunciou que começaria a pagar até US$ 1 milhão para quem pudesse hackear um iPhone remotamente, sem exigir que o alvo fizesse nada (muitos hacks exigem clicar em um link ou e-mail).

Ela também anunciou que forneceria “ dispositivos de pesquisa de segurança” — iPhones especiais projetados para pesquisa de segurança — para pessoas com histórico comprovado de detecção de bugs com sucesso.

A Apple se recusou a dizer quantos dos dispositivos deu aos pesquisadores ou se pagou uma recompensa de US$ 1 milhão. Sam Curry, um pesquisador de segurança de prestígio, de 21 anos em Omaha, voltou sua atenção para o programa de recompensa por bugs da Apple no verão passado.

Ele e quatro amigos se reuniram para sessões noturnas de hackers movidas a refrigerante, abrindo brechas nas defesas da Apple. O grupo enviava um novo bug a cada dois dias. A Apple pagou US$ 50.000 por um dos bugs e, ao todo, eles ganharam cerca de US$ 500.000, disse Curry.

O grupo foi tão bem-sucedido, arrecadando pelo menos 13% do que a Apple pagou em recompensas por bugs ao longo do ano, que a Apple recebeu, disse Curry. Ele conversou com alguns dos pesquisadores de segurança da empresa. Ele disse que o tempo que a Apple leva para pagar pesquisadores por recompensas por bugs é muito longo em comparação com o resto do setor.

“Acho que eles estão cientes de como são vistos na comunidade e estão tentando seguir em frente”, disse Curry.

A Apple, de acordo com algumas pessoas, contratou um novo líder para seu programa de recompensa por bugs este ano com o objetivo de reformá-lo. A Apple se recusou a disponibilizar a pessoa, que trabalha para Krstic, para uma entrevista.

Na guerra global interminável e confusa pela segurança da Internet, até mesmo as empresas mais vigilantes viram suas defesas caírem nas mãos de inimigos sem nome e sem rosto. A Apple não é exceção. Só neste ano, a Apple corrigiu 13 exploits de dia zero , ou vulnerabilidades de segurança previamente desconhecidas, que poderiam ter sido usadas por hackers maliciosos para violar seus dispositivos.

No entanto, a Apple é considerada líder em segurança cibernética e implementou técnicas avançadas, como microprocessadores especializados em iPhones dedicados a impedir hacks. Os IPhones costumam ser comparados favoravelmente aos aparelhos concorrentes que executam o Android do Google, inclusive nos anúncios da Apple .

A segurança dos iPhones é uma das principais reivindicações de marketing da Apple. Um anúncio da empresa por volta de 2017 mostrava um ladrão invadindo facilmente o sistema operacional móvel “concorrente” e sendo então bloqueado do iOS.

Mas há um aspecto da segurança cibernética que não se mistura com o DNA cultural da Apple. O campo da segurança cibernética surgiu de uma cultura hacker na qual o fluxo livre e aberto de informações está entre os valores mais importantes.

A natureza aberta da indústria de segurança cibernética contrasta com a cultura corporativa da Apple. A empresa, como seus concorrentes, prefere manter seus produtos em segredo até que sejam lançados. Os métodos que a Apple usa para garantir o sigilo são mais rigorosos do que aqueles empregados por seus pares. Por exemplo, os funcionários da Apple são instruídos a não discutir seu trabalho nem mesmo com colegas de trabalho.

“Não é uma surpresa que eles não tenham abraçado essa cultura de pesquisador de segurança pública até recentemente, quando foram forçados a lançar um programa de recompensa por bugs”, disse Jay Kaplan, fundador e presidente-executivo da Synack, que ajuda as empresas a coletar vulnerabilidades em tecnologia crítica. Kaplan disse que os pesquisadores não iam à Apple para relatar bugs. “Em vez disso, eles iam a conferências de segurança e falavam sobre isso publicamente e vendiam no mercado negro”, disse ele.

De fato, alguns pesquisadores acham que a Apple prefere não ver seu software separado, mesmo que o resultado seja que mais falhas sejam corrigidas. A Apple torna o mais difícil possível para os pesquisadores removerem proteções de software que limitam os tipos de pesquisa que podem ser conduzidos em iPhones. De acordo com os atuais e ex-funcionários da segurança, a visão da empresa é que tais proteções tornam seus telefones mais seguros.

A Apple está apelando da perda em uma ação federal de direitos autorais contra uma pequena empresa da Flórida chamada Corellium , que fabrica uma ferramenta que permite aos pesquisadores procurar falhas no software do iPhone com mais facilidade.

Tian Zhang, um engenheiro de software do iOS, relatou pela primeira vez um bug à Apple em 2017. Após meses de espera pela Apple para consertar o bug, Zhang perdeu a paciência e decidiu fazer um blog sobre sua descoberta. Na segunda vez que ele relatou uma falha de segurança, ele disse que a Apple corrigiu, mas o ignorou. Em julho, Zhang apresentou outro bug à Apple que ele diz ser elegível para uma recompensa. O software foi corrigido rapidamente, mas Zhang não recebeu uma recompensa. Em vez disso, ele foi expulso do Apple Developer Program. A associação ao programa é necessária para enviar aplicativos à App Store. A Apple não comentou as alegações de Zhang.


“É um sentimento misto”, disse Zhang em uma entrevista. “Por um lado, como engenheiro, você quer ter certeza de que os produtos que está construindo são seguros para outras pessoas”, disse ele. Por outro lado, diz ele, “parece que a Apple acha que as pessoas que relatam bugs são irritantes e querem desencorajar as pessoas a fazê-lo”.

Alex Rice, diretor de tecnologia e cofundador da HackerOne, que fornece serviços de recompensa de bugs para empresas, disse que pode levar tempo para consertar bugs em sistemas de software mais complicados, mas que é importante educar os pesquisadores sobre por que está demorando tanto. “É preciso um pouco de boa-fé. E é preciso um pouco de transparência e colaboração ”, disse ele. Ainda assim, “mais rápido é sempre melhor”.

Apesar do programa de recompensas da Apple, continua a existir um grande mercado para vulnerabilidades em dispositivos Apple. Os pesquisadores podem vender exploits para iPhones por até US$ 2 milhões, de acordo com uma lista de preços publicada pela Zerodium , empresa que compra e vende exploits para uso por empresas como o NSO Group. O mesmo tipo de exploração para o sistema operacional Android do Google custa US$ 2,5 milhões.

Pessoas que venderam exploits para empresas como a Zerodium disseram ao Post que vêem a lista de preços como uma representação aproximada de como é difícil encontrar um exploit. Quanto mais alto o preço, mais seguro é o sistema operacional. Mas não há uma maneira objetiva de medir ou comparar a segurança do iOS com a do Android, em parte porque as pessoas que compram e vendem os exploits mantêm essas informações em segredo. A Zerodium, que afirma em seu site que vende para órgãos governamentais, principalmente na Europa e na América do Norte, não respondeu a um pedido de comentário.

The Wayback Machine, um serviço executado pelo Internet Archive que salva páginas antigas da web, mostra como a dificuldade de hackear dispositivos Android aumentou rapidamente em cinco anos. Em 2016, o Zerodium pagaria apenas US$ 200.000 pelo exploit mais valioso.

Dave Aitel, um ex-cientista pesquisador da Agência de Segurança Nacional e co-autor de “The Hacker's Handbook”, disse que a abordagem fechada da Apple atrapalha seus esforços de segurança.

“Ter um bom relacionamento com a comunidade de segurança oferece uma visão estratégica que vai além do ciclo do produto. Isso permite que você saiba o que está vindo pelo pique ”, disse ele. “Contratar um monte de gente inteligente só leva você até aí.”

Parte da má reputação da Apple no mundo da recompensa por bugs pode ser melhorada com algumas pequenas mudanças, de acordo com especialistas na área.

Casey Ellis, fundador da Bugcrowd, uma empresa australiana que opera programas de recompensa por bugs para empresas, disse que uma "regra básica" na indústria é que se uma empresa muda seu código em resposta a um relatório de bug, deve pagar à pessoa que o relata, mesmo que não atenda à interpretação estrita da empresa sobre as diretrizes.

“Quanto mais boa-fé houver, mais produtivos serão os programas de recompensa”, disse ele.

Outras grandes empresas do Vale do Silício trabalharam durante anos para ganhar destaque no mundo da pesquisa. O Facebook e o Google co-organizam uma conferência chamada BountyCon, que visa reunir pesquisadores de segurança com diferentes habilidades para colaborar e identificar talentos por meio de seus programas de recompensa de bugs.

Nicolas Brunner estava desenvolvendo um aplicativo para as Ferrovias Federais da Suíça no ano passado que ajudaria pessoas cegas a navegar no sistema ferroviário. Ao testar o aplicativo, Brunner percebeu que mesmo que os usuários se recusassem a compartilhar sua localização, ele ainda poderia ver cada movimento deles.

Brunner descobriu um grave bug de segurança no sistema de rastreamento de localização da Apple, disse ele em uma entrevista. Um colega recomendou que ele o enviasse ao programa de recompensa por bug da Apple.

Esperando receber algo em torno de US$ 50.000, Brunner disse a seus 30 colegas que, quando recebesse seu cheque, faria um churrasco para todos eles. A Apple agradeceu por relatar o bug e disse que iria creditar a ele por tê-lo encontrado. Mas oito meses depois, a Apple respondeu a Brunner com notícias decepcionantes: seu bug não se qualificou para o programa, apesar das recompensas promissoras da Apple que variam de cerca de US$ 25.000 a US$ 100.000 por falhas que permitem o acesso a "dados confidenciais", incluindo "em tempo real ou preciso Dados de localização." Depois de meses de atrasos, a Apple decidiu não pagar a ele, dizendo que o bug que ele havia encontrado não se qualificava para o programa.

“Gosto da ideia do programa de recompensa por bugs da Apple. Não gosto da implementação”, disse Brunner em uma entrevista.

“Quando cometemos erros, trabalhamos duro para corrigi-los rapidamente e aprender com eles para melhorar rapidamente o programa”, disse Krstic no comunicado quando solicitado a comentar o caso de Brunner.

Deixar seu comentário

0
termos e condições.
  • Nenhum comentário encontrado

newsletter buton