Bug bounty: a solução para ciberataques que o Brasil precisa conhecer

Entender a diferença entre cibercriminoso e bughunter ajuda a reduzir a confusão em torno do termo hacker

Por Caio Telles*

Na última semana, o Tribunal de Justiça do Rio Grande do Sul (TJ-RS) passou dois dias sem conseguir operar e com o acesso lento a seu site. Até a noite do último domingo, 2, 75% dos processos do judiciário estadual continuavam inacessíveis.

O motivo?  A instituição sofreu um ciberataque na madrugada da última quarta-feira, 28 de abril, que deixou sistemas de e-mails inoperantes. Um dos desembargadores que trabalha no Tribunal chegou a dizer que outras tentativas de ataque já haviam ocorrido, mas que a atual foi algo sem precedentes na história do TJ-RS.

Especialistas apontaram que um malware de computador, o chamado “ransomware”, bloqueou o acesso a arquivos. Nesse tipo de situação, um código malicioso é executado e criptografa todos os arquivos para os quais obtem permissão. O atacante, então, pede uma transferência financeira para liberar uma chave que descriptografe os documentos. Ou seja, é como se acontecesse um sequestro de dados pelo quais se pede resgate.

Este é o episódio mais recente de ciberataque ocorrido no Brasil, mas certamente não o único. Em janeiro deste ano, um vazamento de dados expôs informações de mais de 220 milhões de pessoas – incluindo pessoas já falecidas. Nomes completos, datas de nascimento, CPFs, veículos e empresas foram expostos, no maior ataque do gênero no país.

Um problema global

Mas isso não ocorre apenas no Brasil. Mês passado, uma centrífuga em Natanz, região central do Irã, sofreu um apagão vindo, segundo o governo iraniano, de um ciberataque. O governo culpou o vizinho Israel, que não negou nem confirmou ser o autor do ataque.

Ainda no campo de conflitos diplomáticos, há anos agentes da ONU (Organização das Nações Unidas) suspeitam que o governo da Coreia do Norte mantém seu programa nuclear ativo, em grande parte, por meio de investimentos em criptomoedas roubadas em ataques cibernéticos.

O último relatório da organização sobre o caso, de fevereiro, relata um crime bilionário: um roubo de R$ 1,7 bilhão de criptomoedas de uma corretora com sede em Seychelles, na África.

Cibertaques são, portanto, um problema em escala global.

Um relatório do banco suíço Julius Baer, Cybersecurity: Fighting Invisible Threats, aponta que o ano de 2021 pode registrar um prejuízo à economia global causado por invasões de até US$ 6 trilhões. Portanto, investir em programas que impeçam ciberataques é evitar uma tendência de prejuízos financeiros, reputacionais e de caráter institucional que, hoje, se configuram como um risco mundial.

Recompensas

No Brasil, o mercado de bug bounty, que oferece recompensa por detecção de falhas de cibersegurança, ainda engatinha, e justamente por isso é muito promissor. Analistas apontam que, no geral, as empresas no país não contam com a maturidade de segurança necessária para evitar ataques. Além disso, muitas companhias tendem a contratar serviços de segurança cibernética apenas quando sofrem algum ataque.

É preciso criar a cultura entre os brasileiros de que vivemos uma era onde o digital predomina. E, para que isso aconteça, alguns dogmas precisam mudar. É comum, por exemplo, associar a palavra hacker a pessoas de má índole ou que cometam práticas ilegais. E certamente os exemplos citados acima não ajudam a melhorar essa percepção

Porém, é importante fazer uma separação entre o que queremos dizer e os fatos em si. Podemos começar, por exemplo, adotando as nomenclaturas corretas: “bughunter” para quando estivermos falando do especialista em segurança da informação que trabalha para achar e solucionar bugs, e “cibercriminoso” ao se referir aos detratores de fato.

Parece pouco, mas essa diferença já é muito grande para começar a diferenciar quem busca ajudar as empresas e o setor de segurança da informação no Brasil a se desenvolver daqueles cujo objetivo é chantagear e extorquir.

Bughunters

Outro passo fundamental é o entendimento de como funciona esse mercado. Por exemplo, toda a identificação de vulnerabilidade feita pelos bughunters segue regras e políticas de escopo definidas pela empresa. Isso significa dizer que todo o processo de caçada responderá a execuções estipuladas pela própria empresa.

Assim que o bughunter encontrar uma vulnerabilidade, ele irá reportá-la por meio de uma plataforma especializada, explicando os passos que ele seguiu para encontrar a falha, além de compartilhar referências para ajudar a empresa durante a correção. O mesmo especialista fica à disposição da empresa para possíveis dúvidas ou para a realização de um novo teste de cibersegurança para garantir que a correção foi eficiente. Quanto à empresa, fica a critério dela avaliar se o bug se encaixa na política estipulada do programa, definindo assim se aceita ou reprova o relatório apresentado.

Na BugHunt, primeira plataforma de bug bounty do Brasil, que fundei em março do ano passado com o meu irmão, Bruno Telles, costumamos bater muito nessa tecla: o ataque cibercriminoso tem potencial para causar danos reputacionais e financeiros que podem ser irreversíveis para as empresas.

Por isso dizemos que é urgente criar essa cultura no Brasil sobre programas de segurança da informação. Estamos falando de evitar fraudes digitais, roubo de informações e danos a redes corporativas ao redor do globo.

O último ano e, em especial, a última semana, deixam clara a urgência do tema. O país precisa correr atrás da atualização no setor, não apenas para evitar que o atual gap de conhecimento em relação ao mercado europeu e norte-americano, já muito grande, aumente; mas principalmente para evitar que, sendo uma nação alvo de ataques, eles sigam encontrando terreno fértil para os cibercrimes por aqui.

*Caio Telles é CEO e um dos fundadores da BugHunt, primeira plataforma brasileira focada em bug bounty

Siga Bússola nas redes: Instagram | LinkedinTwitter  |   Facebook   |  Youtube

 

Veja também

Obrigado por ler a EXAME! Que tal se tornar assinante?


Tenha acesso ilimitado ao melhor conteúdo de seu dia. Em poucos minutos, você cria sua conta e continua lendo esta matéria. Vamos lá?


Falta pouco para você liberar seu acesso.

exame digital

R$ 3,90/mês
  • R$ 9,90 após o terceiro mês.

  • Acesse quando e onde quiser.

  • Acesso ilimitado ao EXAME Invest, macroeconomia, mercados, carreira, empreendedorismo e tecnologia.
Assine

exame digital anual

R$ 99,00/ano
  • R$ 99,00 à vista ou em até 12 vezes. (R$ 8,25 ao mês)

  • Acesse quando e onde quiser.

  • Acesso ilimitado ao EXAME Invest, macroeconomia, mercados, carreira, empreendedorismo e tecnologia.
Assine

Já é assinante? Entre aqui.

Veja também