Recompensas de insetos não são mais eficientes, dizem pesquisadores

recompensas de insetos

Bug Bounties: Apesar de dar a pesquisadores altamente remunerados a detecção de vulnerabilidades em software até agora funcionou bem, as necessidades de software maduro agora precisam de uma abordagem diferente, de acordo com uma equipe de pesquisadores acadêmicos e industriais.

Uma análise do mercado, com a compra e venda de problemas de segurança não publicados, os chamados vulnerabilidades de dia zero, mostra que pagar aos pesquisadores secretamente para detectar erros nos desenvolvedores é um método muito bom se os buracos no sistema forem eliminados.

A pesquisa foi conduzida por economistas e pesquisadores de políticas do Instituto de Tecnologia de Massachusetts, Harvard University, Facebook e do provedor de serviços de gerenciamento de vulnerabilidades HackerOne. Usando um tipo de análise, também conhecida como modelagem de dinâmica de sistemas, os pesquisadores estudaram as motivações de cada um dos indivíduos ou partes envolvidas na programação de software e no processo de redução de vulnerabilidades. Por fim, eles descobriram que pagar recompensas a especialistas em segurança, seja em glória ou em dinheiro, funcionava, mas principalmente em encontrar e remover bugs fáceis de detectar.

“A motivação pode ser qualquer coisa – até reconhecimento para alguns”, disse Katie Moussouris, diretora de políticas. HackerOne, uma semana. “Há mais e mais oportunidades para as pessoas ganharem dinheiro, mas os prêmios em si não são a maneira mais eficaz de se livrar do problema de uma vez por todas”.

No entanto, pagar erro programas de recompensa em especialistas em segurança para criar ferramentas para identificar vulnerabilidades parecem ser mais importantes para o modelo de segurança de software. Basicamente, em vez de comprar os frutos do trabalho de especialistas, eles terão que pagar pelas ferramentas usadas para isso.

Pesquisadores de segurança, hackers e desenvolvedores discutem a melhor maneira de detectar falhas – além de melhorar a segurança de software – há mais de duas décadas. Embora a identificação de deficiências tenha colocado muitas empresas em uma posição difícil, ela as levou a levar o caso mais a sério ao mesmo tempo, mas a divulgação de vulnerabilidades pode levar a violações e prejudicar os clientes. Após muitos anos de discussão, pesquisadores e empresas chegaram a uma recessão digital, conhecida como divulgação coordenada, em que os pesquisadores fornecem aos fornecedores de software uma oportunidade razoável de corrigi-la. erro e empresas de software trabalham com pesquisadores para resolver o problema.

Moussouris trabalhou com Michael Siegel e James Houghton na Sloan School do MIT e com Ryan Elllis do Departamento de Políticas Públicas da Harvard Kennedy School, bem como com Collin Greene do Facebook, que também patrocinou a pesquisa.

Juntos, eles descobriram que a teoria dos “muitos olhos” adotada pelos defensores do código aberto poderia apenas eliminar alguns bugs. A partir de um ponto, é necessária a caça automatizada de bugs, com ferramentas defensivas para detectar efetivamente os defeitos. O uso recompensas de insetos e as recompensas por ferramentas de pesquisa defensiva eliminarão muitas das principais falhas de segurança que permitem ataques criminais.