Bug Wars

Como o mercado de vulnerabilidades afeta a sua vida

Na semana passada chegou ao fim uma caçada milionária por uma falha de segurança no iOS 9 da Apple. Como falamos aqui na Io, pesquisadores encontraram uma forma de invadir Iphones e Ipads remotamente e ganharam um prêmio de US$ 1 milhão da empresa Zerodium. Até aqui tudo bem, mas este episódio possui um componente novo que pode afetar a vida não só de quem usa dispositivos Apple, mas dos usuários de qualquer tecnologia.

Você não é técnico? Ótimo! Esse texto foi feito pensando em você. Siga conosco para entender como essa situação é importante para qualquer um.

Procurar vulnerabilidades é legal

Se alguém lhe disser que um sistema é seguro, essa pessoa está mentindo. Todos possuem vulnerabilidades e as pessoas que atuam em tecnologia e segurança já se resignaram quanto a isso. Existem histórias que beiram o humor como a da empresa Oracle que em 2001 lançou a versão 9i de seu sistema de banco de dados com uma campanha de marketing que usava o slogan "Unbreakable" (inquebrável em português), a partir desse momento todo hacker queria "quebrar" o 9i, e claro que conseguiram.

Passaram os anos e várias vulnerabilidades foram encontradas não só no 9i, mas em outros produtos da empresa, a ponto da chefe de segurança da Oracle postar um texto no blog da companhia, em agosto desse ano, dizendo que ninguém podia ficar tentando acessar o código dos seus produtos, pois isso violaria a licença do software. Como se a licença de software fosse impedir as pessoas de tentar encontrar falhas.

O post irritou muito os pesquisadores de segurança. E a empresa, talvez temendo se tornar alvo novamente — como no episódio do 9i — resolveu removê-lo do blog da companhia. No entanto, como postar coisas na internet é o mesmo que urinar na piscina (não há como voltar atrás), você pode encontrar o texto recuperado aqui.

O que torna uma tecnologia boa, no que se refere à segurança, é a capacidade de seus fabricantes descobrirem e corrigirem as falhas rapidamente. É uma corrida contra o tempo e contra o orçamento, porque os fabricantes precisam equilibrar o esforço e o dinheiro entre criar novos produtos e corrigir falhas em produtos já lançados.

Buscar vulnerabilidades é a coisa mais legal da área de segurança. Os profissionais que fazem esse trabalho ficam famosos, ganham bons salários e trabalham nas melhores empresas, ou às vezes não trabalham em empresa nenhuma. O que é mais legal para um técnico do que passar o dia inteiro buscando brechas em plataformas tecnológicas, ganhando muito por isso, sem nenhum chefe para lhe dizer o que ele deve fazer?

Procurar vulnerabilidades também pode ser muito bom para os fabricantes de tecnologia, pois estes podem se aproveitar das pesquisas dos outros para melhorar a segurança dos seus produtos, oferecendo melhores soluções para seus clientes. Tudo isso sem pagar salário, benefícios e encargos trabalhistas para os pesquisadores.

Claro, tudo isso se o rito de comunicar o fabricante sobre a vulnerabilidade e esperar ele corrigir a falha, antes de divulgá-la for cumprido. Mas esse é um debate que gira em torno de si mesmo há anos: fabricantes reclamam que os pesquisadores não esperam o tempo necessário para a correção e saem divulgando as vulnerabilidades, gerando histeria no mercado. Enquanto isso, os pesquisadores reclamam que os fabricantes são muito lentos em responder e em corrigir as vulnerabilidades.

Às vezes eles ignoram completamente os alertas dos pesquisadores. Um exemplo disso foi a "via crucis" que um pesquisador da UNICAMP teve de seguir para alertar a maioria dos bancos brasileiros de que seus aplicativos para Android possuíam vulnerabilidades críticas. Ele foi ignorado por quase todos os bancos e de outros sofreu hostilidades, como se alertar que um sistema é vulnerável fosse um atentado contra a instituição bancária. Veja nossa cobertura sobre isso aqui.

Sob a perspectiva jurídica, a busca por vulnerabilidades não é tão "legal" assim. A lei 12737 (Lei Carolina Dieckmann) atualizou o código penal incluindo o seguinte artigo:

Art. 154-A. Invadir dispositivo informático alheio, conectado ou não à rede de computadores, mediante violação indevida de mecanismo de segurança e com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do titular do dispositivo ou instalar vulnerabilidades para obter vantagem ilícita:

Pena — detenção, de 3 (três) meses a 1 (um) ano, e multa.

§ 1o Na mesma pena incorre quem produz, oferece, distribui, vende ou difunde dispositivo ou programa de computador com o intuito de permitir a prática da conduta definida no caput.

Ou seja, se um sujeito criar um mecanismo que viole a segurança de um dispositivo, “para obter vantagem ilícita” ele pode ser preso. Mas o que seria vantagem ilícita?

Bug Bounties

Para resolver o dilema entre fabricantes e pesquisadores o mercado criou uma saída: os programas de Bug Bounty.

Trata-se de programas de recompensas para aqueles que encontram falhas (bugs) em tecnologias. Existem centenas deles, mantidos pelos próprios fabricantes de tecnologia ou por empresas especializadas que fazem a intermediação entre pesquisador e fabricante. Na verdade a coisa nem é tão nova; o primeiro Bug Bounty foi criado pela Netscape em 1995, mas foi só recentemente que esse mercado explodiu.

De maneira geral o processo é simples: qualquer pessoa que encontrar uma falha em uma tecnologia pode reportá-la ao programa de bug bounty e ganhar brindes ou dinheiro.

Esse valor pode variar muito. O Pinterest, por exemplo, paga de 50 a 1500 dólares por bug e a recompensa mínima por bug no Facebook é de 500 dólares. Já o Mega, do mega rico Kim Dotcom promete pagar 10.000 euros para quem encontrar uma vulnerabilidade em sua estrutura. Os valores variam de acordo com o impacto da vulnerabilidade e a complexidade do ataque, com pagamentos de até cem mil dólares, como o oferecido pela Microsoft.

Com estes valores podendo chegar às centenas de milhares de dólares e considerando que toda tecnologia possui falhas, não seria difícil para pesquisadores largarem seus empregos e se tornarem caçadores de recompensas (bug hunters) em tempo integral.

Mas com a disseminação de empresas especializadas nisso o mercado ficou nebuloso. E essa premiação milionária para a vulnerabilidade no produto da Apple é uma demonstração de quão sombrio o cenário se tornou.

Capitão do Mato

Historicamente o caçador de recompensas era, na maioria dos casos, um sujeito valentão que buscava criminosos fugidos, atendendo à demanda de um Estado que não tinha estrutura de investigação para dar conta de um grande território.

Claro, caçar criminosos é moralmente aceito, mas no Brasil havia ainda a figura do capitão do mato, que caçava escravos em troca de recompensas. Essa era uma demanda de mercado na época, mas moralmente falando, aqui a situação fica estranha.

Por mais que a atividade do caçador de recompensas tradicional seja OK, a do capitão do mato é desprezível, pois não dá para compactuar com a escravidão.

Pois bem, somente com esta questão moral em mente imagine que um bug hunter pode descobrir uma vulnerabilidade, reportá-la para garantir o prêmio e ainda usá-la para cometer crimes, ou vendê-la para alguém que os cometa (o que se chama de double-dipping). Na maioria dos casos não basta o fabricante corrigir o problema, o cliente dele (ou você, usuário) tem que atualizar o sistema para versão mais nova, isso abre uma janela de tempo enorme para criminosos explorarem a falha.

Outro lado da moeda: uma empresa de bug bounty pode comprar uma vulnerabilidade da qual o fabricante não tem conhecimento (o que chamamos de zero-day) e simplesmente não reportá-la para a empresa que constrói a tecnologia.

Foi exatamente o que aconteceu com essa vulnerabilidade no iOS9, comprada pela Zerodium por um milhão de dólares.

Informação é poder e ter acesso a mecanismos que possibilitem acumular toneladas de informação é concentrar o poder. Qual seria a vantagem da Zerodium em pagar uma fortuna por uma vulnerabilidade crítica e entregá-la de bandeja para a Apple? Nenhuma. O que eles querem é incorporar a vulnerabilidade em soluções de vigilância massiva à venda para clientes poderosos, como governos, entidades de defesa e corporações financeiras ou de tecnologia.

Foi exatamente isso que a empresa disse para a Wired.

O vazamento ocorrido em julho na Hacking Team, empresa italiana que vendia produtos de invasão e vigilância (leia aqui cobertura da Io sobre isso) demonstrou que havia um mercado obscuro de venda de zero-days, que enriquecia a base de ataques do Remote Control System (RCS), produto da empresa.

O RCS era usado (ou ainda é, pois a empresa segue ativa) por governos como os do Sudão, Rússia, Azerbaijão, Egito, e Emirados Árabes Unidos. Há relatos de que esses países usaram o RCS para perseguir jornalistas e ativistas. Em outras palavras, o produto da Hacking Team faz parte da caixa de ferramentas de países que oprimem opositores e que não respeitam a liberdade de expressão.

Somos todos reféns

Voltando ao caso do iOS9, isso quer dizer que enquanto a Apple não descobrir por si só os detalhes da vulnerabilidade da Zerodium, não só ela é refém da empresa de Bug Bounty, pois não saberá como corrigir o problema, mas também qualquer usuário de Iphones e Ipads com este sistema operacional instalado.

Neste momento, qualquer usuário do iOS 9 que pode ter seus dispositivos invadidos por sabe-se lá quais clientes da Zerodium.

É a primeira vez que uma empresa de Bug Bounty declara descaradamente que vai usar a vulnerabilidade somente para benefício próprio. A partir desse momento, se rompeu definitivamente qualquer elo entre este tipo de mercado e a indústria de segurança da informação.

Chaouki Bekar, fundador da Zerodium se orgulha de ser chamado de "Darth Vader de cibersegurança" ou "O Lobo de Vuln Street" (referência ao "Lobo de Wall Street") em sua bio no Twitter. Certamente ele já escolheu seu "lado da força" há tempos. Bekar é fundador da VUPEN que teve um relacionamento bem próximo com a Hacking Team (veja os e-mails vazados aqui). A Zerodium é essencialmente a VUPEN após o impacto do vazamento na Hacking Team.

Bekar também usa o slogan "Life is short, sell your 0days to Zerodium" uma corruptela de “Life is short, have an affair”, slogan da Ashley Madison, site de encontros para pessoas casadas, hackeado em agosto. Esse incentivo a se render ao prazer imediato é o que alimenta a sua base de vulnerabilidades.

Se os fabricantes já se incomodavam com pesquisadores autônomos descobrindo falhas em seus produtos, agora a luta subiu de nível porque empresas com grande capital entraram na batalha. Essa guerra envolvendo fabricantes e bug bounties focadas em usar as vulnerabilidades ao invés de corrigi-las tende a acontecer cada vez mais, contemplando todo tipo de tecnologia.

Criou-se uma demanda de mercado para esses caçadores de recompensas? Sim. Mas quando a demanda não visa melhorar a segurança da tecnologia ela é tão imoral quanto o emprego de capitães do mato.

Agora, considerando que essas empresas atendem às necessidades de governos interessados em vigiar pessoas, será que essa atividade poderá ser um dia considerada legalmente como de obtenção de "vantagem ilícita”? Só o tempo vai dizer.