julho 08, 2021

[Segurança] Beg Bounties

Uma reportagem no site Computer Weekly trouxe a tona a discussão sobre um comportamento que pode ser visto nos programas de Bug Bounty: os reports de vulnerabilidade criados para "implorar por recompensas", que a reportagem chamou de "beg bounties".

Tratam-se de reports de vulnerabilidades que relatam temas de baixa complexidade, normalmente baseados em uma análise simples usando ferramentas automatizadas de scan de vulnerabilidades. Ou seja, o pesquisador simplesmente roda uma ferramenta e reporta o seu resultado, sem necessariamente ter uma análise de impacto e nem mesmo uma avaliação se o report está dentro do escopo do programa.


Conforme diz a reportagem, os "beg bounties" geralmente são bugs simples, que podem ser escaneados em larga escala com ferramentas automatizadas, e traz como exemplo erros de configuração de SPF ou de registro DMARC no DNS das empresas (que pode permitir que um determinado domínio seja usado em mensagens de SPAM e phishing).

Eu também incluo nessa categoria de "beg bounty" os reports que criticam a falta de seguir princípios de segurança - como, por exemplo, se o app não possui uma política rígida de senhas para seus usuários. Mas eu também já vi reports em programas de bug bounty de problemas que deveriam ser tratados pela central de atendimento - por exemplo, se o app apresentou um problema esporádico - como quando não completa o login ou apresenta alguma indisponibilidade.

O problema é que tais reports geram ruído: são relatórios que pouco agregam para a segurança da empresa e geram um trabalho desnecessário do time que gerencia o programa de Bug Bounty, que deve tratar tais chamados. Também é frustrante, pois a empresa que tem um programa de Bug Bounty tem a expectativa de receber reports válidos e interessantes, que encontrem vulnerabilidades sérias, que seu time não conseguiu identificar previamente.

Para evitar esse ruído, as empresas tentam restringir o escopo de seus programas de Bug Bounty, de forma a evitar tais reports. Isso pode ser feito ao excluir reports relacionados aos problemas mais específicos, por exemplo, citando nominalmente que não aceita reports relacionados a falhas de configuração em DNS. Também podem exigir que o pesquisador apresente um exploit ou um exemplo de exploração - e quem somente roda ferramentas automatizadas provavelmente não vai ter conhecimento para fazer isso.

PS: Post atualizado em 25/09/23 só para incluir uma imagem publicada pelo infosec1000grau ;)

Nenhum comentário:

Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.