Achar uma falha grave o objetivo de todo profissional de segurana,...

http://info.abril.com.br/noticias/seguranca/2014/01/achar-uma-falha-gr...

NOTCIAS BLOGS GAMES REVIEWS GADGETS DOWNLOADS DICAS FORUM MULTIMDIA TPICOS VAGAS REVISTA ASSINE SHOPPING INFOStart

INFO Online
26/01/2014 11h12 - Atualizado em 26/01/2014 15h12

Achar uma falha grave o objet ivo de t odo profissional de seguran a, diz brasileiro que ganhou R$ 80 mil do Facebook
Gustavo Gusmo, de INFO Online
Getty Images

O Facebook pagou, nesta ltima semana, a maior recompensa da hist ria da rede social a um ca ador de bugs : 33,5 mil d lares, ou cerca de 80 mil reais. O premiado foi o mineiro Reginaldo Silva, engenheiro da computa o de 27 anos, que encontrou uma brecha de segurana que permitia a execu o de c digos remota afetando os servidores do site. A premia o vem por meio do programa Facebook Bug Bounty, inaugurado pela rede social em novembro passado. Silva reportou empresa todo o procedimento feito at chegar falha, que foi logo corrigida pelos engenheiros do pr prio site todo o longo processo, alis, voc pode conferir aqui. O valor entregue ao brasileiro foi definido de acordo com a gravidade da brecha e pela alta soma, d para imaginar o estrago que o bug poderia causar se tivesse sido descoberto por um cracker. Hoje residente em So Jos dos Campos (SP), o mineiro formado pelo Instituto Tecnol gico da Aeron utica (ITA) falou a INFO sobre sua carreira como especialista em segurana da informao e caador de bugs e ainda deu algumas dicas para quem quer come ar na rea. Primeiro, quando voc comeou a se interessar e a procurar por bugs de seguran a pela internet? E qual foi o primeiro que encontrou? Eu me interesso por segurana da informa o j h 10 anos, e meio que decidi fazer carreira nessa rea. A primeira falha que encontrei pela internet foi em um framework para programa o Web em Java, chamado Play Framework. O processo para isso sempre o mesmo: ler o c digo fonte do software pacientemente, enumerar os problemas por mais simples que sejam e ver as maneiras pelas quais eles podem ser explorados. Mas quando o c digo fonte no est disponvel, na base da tentativa e erro mesmo. At hoje, quantas falhas j achou? Todas renderam algum tipo de recompensa? Estimo que algumas centenas, somando os bugs que acho atuando profissionalmente e os de vrios programas de recompensa ao redor da internet. Procuro bastante por falhas tamb m em software de c digo livre, ent o muitas das que acho n o rendem nenhuma recompensa financeira imediata. A principal mesmo ter o trabalho reconhecido e saber que estou contribuindo para uma internet mais segura. E como tamb m atuo como consultor, a notoriedade gerada pela associa o do meu nome descoberta de falhas importantes ajuda a atrair clientes. Antes de receber essa recompensa do Facebook, voc j havia parado at em um hall da fama do Google. Como isso aconteceu? O Google mant m um hall da fama que lista os pesquisadores que mais relataram falhas de segurana empresa. Como reportei alguns problemas ao longo de 2012 e 2013, acabei indo parar nessa lista. [A tabela foi criada em novembro 2010, junto do programa de recompensas do Google. Ela atualizada de tr s a quatro vezes por ano, e Reginaldo Silva n o o nico brasileiro na lista.] Agora no caso especfico do Facebook, esse foi o primeiro bug que voc achou? Como foi o procedimento?

1 de 2

25/02/14 00:33

Achar uma falha grave o objetivo de todo profissional de segurana,...

http://info.abril.com.br/noticias/seguranca/2014/01/achar-uma-falha-gr...

NOTCIAS BLOGS GAMES REVIEWS GADGETS DOWNLOADS DICAS FORUM MULTIMDIA TPICOS VAGAS REVISTA ASSINE SHOPPING INFOStart

segurana, e estou sempre tentando fazer isso. Achei o problema quando estava testando a seguran a da parte do site que utilizada quando o usu rio esquece a senha. Suspeitei que o Facebook pudesse estar vulner vel a uma falha semelhante a outra que eu j tinha descoberto em 2012, quando testava a segurana do Drupal, o gerenciador de conte do de c digo aberto. A falha permitia ler arquivos internos do servidor do Facebook, e com ela em mos, pensei em um cenrio que poderia ser utilizado para concretizar a invas o ou seja, o comprometimento total dos servidores da empresa. Como no tinha permisso para test -la, apenas relatei o que tinha descoberto ao time de seguran a do Facebook, que confirmou minha teoria. [O relato completo de Silva est disponvel em sua pgina pessoal, em ingl s.] A algu m que queira comear a caar bugs ou mesmo uma carreira em seguran a de informao, o que voc recomenda? H muito material, principalmente em ingl s. Para seguran a na web, recomendo os livros The Tangled Web, de Michal Zalewski, e The Web Application Hacker s Handbook , de Dafydd Stuttard e Marcus Pinto. Uma abordagem sistem tica sobre anlise de c digo est no livro The Art of Software Security Assessment, considerado por muitos a bblia da rea. Alm dos livros, leio muitos blogs de seguran a, tanto de empresa quanto de desenvolvedores e pesquisadores. Mas a melhor forma mesmo acompanhar as falhas de segurana nas pginas dos pr prios frameworks e software, olhar os commits que consertam as falhas e tentar explor -las. Alm disso, tambm vale ver uma falha e pensar: Onde ser que vou achar outro problema desse tipo? . E alm do procedimento padro, de ler o cdigo fonte atentamente e enumerar problemas, voc usa alguma ferramenta em especial no trabalho? Meu editor favorito o GNU Emacs, que posso personalizar do jeito que eu gosto. No dia a dia, utilizo muito uma ferramenta chamada Burp Suite, para pausar e modificar as requisies feitas aos servidores web. Mas a verdade que passo grande parte do tempo na linha de comando, utilizando as ferramentas Unix padr o. Grip, Sed, Awk, Curl, etc... Sou mais r pido na linha de comando do que em uma interface gr fica, para ser sincero.

COMENT RIOS ///

2 de 2

25/02/14 00:33