Com US$ 3,5 milhões, competições pagam por ataques a sistemas


Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados, etc), vá até o fim da reportagem e utilize a seção de comentários. A coluna responde perguntas deixadas por leitores todas as quartas-feiras.

Ocorria pela primeira vez em 2007 a competição “Pwn2Own”. Durante a conferência CanSecWest, em Vancouver, no Canadá, especialistas em segurança tinham como desafio invadir sistemas preparados pela Zero Day Initiative (ZDI). Quem invadisse os sistemas – dois MacBooks – poderiam levar o notebook para casa, além de um prêmio de 10 mil dólares. Desde então, os prêmios têm aumentado e, em 2013, há até U$ 3,5 milhões (cerca R$ 7 milhões) sendo disputados.

Falhas em softwares diferentes têm valores diferentes. Brechas no Java são as de menor valor. Já a maior parte do dinheiro (US$ 3,14 milhões, em referência à constante matemática “pi”) será fornecida pelo Google em uma competição que ocorrerá junto a Pwn2Own. Chamada de “Pwnium”, a competição terá como alvo o Chrome OS, o sistema operacional do Google usado em seus Chromebooks.

A Pwnium foi criada após um desentendimento entre o Google e a ZDI, organizadora do Pwn2Own original. Como as regras da edição 2012 não exigiam que os participantes revelassem todos os detalhes técnicos da falha demonstrada, o Google fez sua própria competição, tendo unicamente o navegador Google Chrome como alvo e até US$ 1 milhão em prêmios, com até US$ 60 mil oferecidos para cada participante que demonstrasse uma forma de burlar a segurança do navegador.

Este ano, o Google Chrome fará parte da Pwn2Own regular, e o Chrome OS, que não participa dela, terá a Pwnium. O Google ofereceu até US$ 150 mil (cerca de R$ 300 mil) pela demonstração de um ataque viável contra o Chrome OS que consiga permanecer no sistema.

Na Pwn2Own, o valor em disputa será de US$ 485 mil, distribuídos em uma série de categorias. As mais valiosas, que renderão US$ 100 mil ao vencedor, são o Google Chrome no Windows 7 (também patrocinado pelo Google) e Internet Explorer 10 no Windows 8.

Invadido não é roubado
As regras da Pwn2Own são simples: os sistemas são preparados pela organização do evento com o conjunto de softwares anunciado. O participante prepara uma página web de ataque. Quando chega sua vez, os organizadores usam o sistema e acessam a página definida pelo participante. Com isso, o participante deve conseguir instalar um arquivo específico no computador, demonstrando que ele conseguiu burlar a segurança do navegador.

Os computadores estarão com todos os softwares em suas versões mais recentes – que devem ser as mais seguras – e com a configuração de fábrica. Não é permitido usar brechas já conhecidas e a mesma falha não pode ser usada duas vezes.

Caso tenha sucesso, o participante leva o prêmio em dinheiro e o notebook que ele conseguiu invadir. Ou seja, invadido não é roubado. O participante também é obrigado a revelar todos os detalhes técnicos da falha para a Zero Day Initiative (ZDI).

A ZDI é uma equipe que monitora e desenvolve soluções de segurança para a divisão de redes da HP. A ZDI rotineiramente compra informações sobre vulnerabilidades de pesquisadores, para proteger os clientes de falhas que nem mesmo os fabricantes ainda conhecem. No entanto, todas as informações obtidas são compartilhadas com os desenvolvedores de software, permitindo que eles corrijam as falhas.

Pagando por falhas
A oferta de compensação financeira por informações sobre brechas de segurança ainda é polêmica. Enquanto algumas empresas já pagam pesquisadores – caso do Google e do Facebook – outras, como a Microsoft, resistem. Por enquanto, especialistas podem recorrer a terceiros, como a ZDI ou a iDefense, para vender as vulnerabilidades que descobrirem.

Na Pwn2Own, os valores pagos aumentaram de forma significativa nas edições recentes. Em 2007, na primeira edição, era até US$ 10 mil. Em 2008, US$ 20 mil. Em 2009, US$ 5 mil, mas era permitido mais de um vencedor por categoria. Em US$ 2010, o valor total saltou para US$ 100 mil, com falhas em celulares valendo até US$ 15 mil. Em 2011, os US$ 15 mil foram oferecidos, desta vez até para os navegadores.

Em 2012, o valor pago quadruplicou e passou a ser U$ 60 mil, tanto na Pwn2Own como na Pwnium, então realizada paralelamente pelo Google. Este ano, o menor valor pago – por falha no Java – é de US$ 20 mil, e o maior, para uma falha no Chrome OS na Pwnium, é de US$ 150 mil.

O crescimento dos valores cria uma tendência muito forte para uma abertura ainda maior de programas que recompensem pesquisadores independentes pelas informações de brechas. Hoje, muitas empresas esperam que detalhes técnicos de falhas, mesmo as mais graves, sejam cedidos gratuitamente.

Por outro lado, especialistas podem ter dificuldade para comercializar informações sobre falhas, pois vender para a pessoa errada pode colocar milhares ou até milhões de usuários em risco. Diante da falta de opções, o valor de uma vulnerabilidade seria, aparentemente, zero.

O “problema” – demonstrado claramente pela Pwn2Own – é que já não faltam opções.

A Pwn2Own e a Pwnium ocorrem durante a conferência CanSecWest, que em 2013 ocorre nos dias 6 a 8 de março em Vancouver, no Canadá.

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s