Bug Bounty Que é e Como Iniciar!

Bug Bounty: Como Iniciar Nesta Jornada

Olá a todos os membros da comunidade DIO!

Meu nome é Thiago (Playmaker na comunidade de hackers éticos/bug bounty), e hoje vim trazer a vocês um pouco do universo do Bug Bounty, uma área da cibersegurança bem interessante que permite tanto àqueles que estão iniciando, como àqueles que já trabalham na área da segurança da informação, ganharem uma renda extra e, acima de tudo, muito conhecimento para agregar na jornada profissional.😎

O que é?

Bug hunting nada mais é do que utilizar os conhecimentos de vulnerabilidades para tentar identificar brechas em sistemas de empresas parceiras, a fim de gerar uma POC (Proof of Concept) que permita o time de segurança da empresa corrigir essa falha antes que algum hacker mal-intencionado a utilize e cause prejuízos à empresa. Esse processo geralmente é intermediado por algumas empresas parceiras que fazem a ponte entre o pesquisador (hacker ético) e as empresas parceiras. Cada empresa pode usar diversos tipos de abordagem para esses testes, de acordo com o conforto que elas têm com a maturidade de sua infraestrutura e segurança. Os tipos de testes são os privados (onde só os pesquisadores que a empresa deseja são convidados), os públicos (qualquer um pode participar) e os VDP (geralmente campanhas que não geram ganhos financeiros, mas aumentam a reputação no meio). Tudo isso é feito de forma legal e legítima através de um contrato entre o pesquisador e a empresa (Safe Harbor), onde ela diz que tipo de testes e técnicas ela permite que sejam utilizados em seus sistemas.🤓

Como Iniciar?

É bem simples iniciar no mundo de Bug Bounty. Tudo que você precisa para começar a procurar seus primeiros bugs é uma conta em um dos intermediadores. Deixo alguns como referência para que vocês possam localizar facilmente pelo Google: Hackerone, Intigriti, Bughunt Brasil (iniciativa bem legal do nosso país). Todas essas plataformas permitem um cadastro gratuito e, após a sua conclusão, você já tem acesso aos programas públicos e a alguns VDP. Caso você não possua conhecimentos de cibersegurança, a DIO mesmo possui uma ótima base sobre o assunto que vale a pena conferir. Além disso, a Hackerone, em especial, oferece aulas gratuitas falando das principais falhas e oferece desafios na forma de CTF (capture the flag) para ajudar a treinar suas habilidades. Após isso, apenas com seu navegador e o console de desenvolvedor, você já consegue procurar por bugs em aplicações web nos mais diversos programas. Também é aconselhável procurar um proxy para auxiliar no trabalho. Dois gratuitos que auxiliam muito são o Charles Proxy e, é claro, o líder do mercado Burp Suite (usem a versão da comunidade para não ter custos).🤓

O Processo em Si

Caçar bugs é como uma espécie de jogo, um quebra-cabeça em que você dificilmente consegue enxergar todas as partes. Boa parte dos projetos, principalmente os públicos, são no modelo Black-box, ou seja, você não tem noção do que ocorre no lado do servidor. Então, você vai precisar executar testes e analisar o comportamento da aplicação para conseguir identificar os bugs. Vale citar que, para um bug receber retorno financeiro, ele precisa gerar "impacto", ou seja, ele precisa causar algum prejuízo à tríade da segurança da informação para a empresa (confidencialidade/integridade/disponibilidade). Conseguindo gerar uma prova de conceito, você precisará criar um report na plataforma e preencher da melhor maneira possível tudo o que for lhe pedido. Depois disso, o report irá para o time de triagem da plataforma, e dali você receberá um dos três status: Aceito (Parabéns, seu report foi para o time de correção da empresa, e eles lhe darão o bounty adequado. Fique atento, pois a equipe técnica pode entrar em contato solicitando novos testes ou ajuda), Duplicado (Você mandou bem, porém outro pesquisador deu a sorte de reportar antes de você. Dependendo das políticas da plataforma e do programa em questão, você pode até conseguir acompanhar o processo e sua resolução!) ou Indevido (Infelizmente, você reportou algo fora do escopo do projeto ou achou uma falha que não gera impacto para a empresa). Conforme você evolui em suas caças, trabalha com as equipes de segurança e analisa os bugs, você ganha reputação na comunidade e recebe convites para os programas privados, com melhores oportunidades. Porém, acima de tudo, o conhecimento que é gerado trabalhando com todo o processo é incrível!😁

Conclusão

Existe muito que poderia ser dito sobre o universo do Bug Bounty, porém, tentei sintetizar o básico para você começar hoje mesmo, se quiser. Toda a gama de informações úteis não caberia em um só artigo. Infelizmente, para finalizar, eu deixarei aqui algumas dicas que a experiência na área me deu.😉

• Não dependa de ferramentas automatizadas para gerar o seu report. As empresas não costumam ver isso com bons olhos. Tenha bom entendimento do bug e do porquê ele está ocorrendo. No Google, é possível encontrar muita coisa. A capacidade de pesquisar é a melhor amiga de um Bug Hunter.
• Fique atento ao escopo do seu projeto. Leia com atenção quais domínios e subdomínios você pode testar, quais vulnerabilidades são aceitas, quais métodos são aceitos.
• Leia com atenção o Safe Harbor. Seguir a seus passos e instruções é o que permite você usar suas habilidades de Hacking dentro da lei.
• Escolha bem os seus alvos. Empresas como Facebook e Google podem pagar muito bem, porém, eles já têm uma grande maturidade em seu sistema de segurança. Às vezes, vale mais a pena ir atrás de um alvo menor e conseguir mais bounties e conhecimento.
• Tenha a mentalidade de "eterno aprendizado" ou, como a DIO diz, "Life Long Learning". Todo dia sai vulnerabilidade nova e atualizações no mundo da cibersegurança. Sempre existe algo a aprender.

Por hora, é isso pessoal vamos aprendendo juntos!🤩