[Tech Thoughts] Recompensas por bugs e hacking ético do DICT num relance

O Departamento de Tecnologia da Informação e Comunicações lançou no dia 14 de janeiro a circular departamental HRA-002, que estabeleceu as diretrizes, regras e regulamentos revisados e consolidados sobre divulgações de vulnerabilidades e a política de porto seguro do país e programa de recompensas bônus.

O Secretário do DICT, Henry Aguda, até participou da conferência de hacking Rootcon no ano passado com o propósito de divulgar este desenvolvimento, afirmando que os hackers do país devem usar suas habilidades "para proteger, não para destruir".

Nesse sentido, a instituição da Política de Porto Seguro e Programa de Recompensas Bônus (SHPBBP) deve ser uma nota bem-vinda para aqueles com o conjunto certo de habilidades, pois tenta incentivar divulgações responsáveis de segurança cibernética para serviços governamentais.

Vamos ver o que tudo isso significa, especialmente se você não ouviu falar deste desenvolvimento.

Hackers éticos, recompensas bônus e políticas de porto seguro

O hacking ético é o processo pelo qual um profissional de segurança cibernética, também conhecido como hacker de chapéu branco, identifica e ajuda a corrigir vulnerabilidades em aplicações, sistemas ou tecnologias antes que essa vulnerabilidade possa ser usada maliciosamente por um hacker não ético, ou de chapéu preto.

Como tal, o hacking ético simula ataques cibernéticos do mundo real para avaliar os riscos de um sistema, para que os sistemas possam ser melhorados ou fortalecidos em segurança.

Para tornar o hacking ético gratificante para hackers de chapéu branco, os programas de recompensas bônus são estruturas organizacionais criadas para avaliar e oferecer compensação financeira pelo trabalho de descobrir e entregar responsavelmente vulnerabilidades às pessoas que desenvolvem os sistemas que foram hackeados. Isso é para que a segurança de tais sistemas possa ser melhorada.

Os programas de recompensas bônus frequentemente vêm com proteções para os hackers fazerem seu trabalho.

Essas políticas de porto seguro são projetadas para proteger hackers de chapéu branco ou pesquisadores de segurança de responsabilidade administrativa, civil ou criminal caso encontrem algo no processo de caça a bugs, desde que divulguem adequadamente sua pesquisa de acordo com as especificidades de um determinado programa de recompensas bônus.

Sobre o que é a circular SHPBBP do DICT?

O SHPBBP do DICT delineia as proteções e requisitos necessários para participar do programa de recompensas bônus do DICT.

Agora, você pode estar a questionar-se se qualquer pessoa pode participar numa recompensa bônus.

Para os propósitos da circular do DICT, você tem que, no mínimo, ser um pesquisador profissional de segurança cibernética para participar. Você também tem que se registar sob um procedimento Know Your Contributor (KYC) / Conheça Seu Contribuidor para sequer ser elegível para receber recompensas de uma recompensa bônus.

Especificamente, porém, a circular disse que se aplica ao seguinte:

• Todas as agências governamentais nacionais sob o Poder Executivo, incluindo Corporações de Propriedade e Controlo Governamental e suas subsidiárias, Instituições Financeiras Governamentais e Universidades e Faculdades Estatais, incluindo aquelas sob o domínio *.gov.ph e plataformas geridas pelo DICT;
• O Congresso Filipino, o Judiciário, Comissões Constitucionais Independentes, o Gabinete do Provedor de Justiça e Unidades de Governo Local são altamente encorajados a adotar esta Circular;
• Entidades privadas voluntariamente inscritas no Programa de Parceria de Segurança Cibernética Público-Privada do DICT;
• Operadores de Infraestrutura de Informação Crítica (CII), conforme identificados sob o Plano Nacional de Segurança Cibernética (NCSP); e
• Pesquisadores de Segurança Cibernética que são responsáveis por identificar e analisar ameaças potenciais à rede e sistemas de uma organização.

As proteções de porto seguro só se aplicarão, entretanto, se você for um pesquisador de segurança que está a testar apenas os sistemas declarados dentro do âmbito das recompensas bônus; você não comete qualquer tipo de exfiltração, alteração ou interrupção de serviço de dados não autorizados; você relata vulnerabilidades de forma responsável e privada ao DICT ou à entidade autorizada; e você mantém suas descobertas privadas e não as divulga até que o problema que você encontrou tenha sido resolvido ou você tenha sido autorizado a discuti-lo publicamente.

Como funciona tudo isto?

Você pode estar curioso sobre como isso funciona na prática, então aqui está como geralmente se desenrolaria.

Um pesquisador de segurança candidata-se a juntar-se à iniciativa do DICT através do procedimento Know Your Customer mencionado acima. Eles têm que completar todo o processo e ser aceites para serem elegíveis para recompensas em dinheiro. Conflitos de interesse — por exemplo, pessoal do DICT e fornecedores de serviços de terceiros contratados pelo DICT — desqualificam candidatos potenciais de participar nestas recompensas bônus.

O programa de recompensas bônus terá suas recompensas definidas por entidades participantes, nomeadamente as agências governamentais que precisam de ajuda, ou parceiros governamentais que desejam estabelecer uma recompensa própria. O financiamento para fazer esta circular funcionar "será cobrado contra o orçamento existente da agência ou instituição coberta, e outras fontes de financiamento apropriadas conforme o Departamento de Orçamento e Gestão possa identificar, sujeito a leis, regras e regulamentos relevantes".

Essas recompensas — incluindo quais sites ou serviços e quais aspetos desses sites e serviços precisam de testes — estão listadas num portal de programa de divulgação de vulnerabilidades (VDPP), um site dedicado a caçar os bugs e relatá-los. Este é hospedado e mantido pelo departamento de segurança cibernética do DICT.

Bugs e problemas adequadamente relatados ao VDPP podem cair sob quatro cenários de segurança possíveis, variando de Crítico, Alto, Médio e Baixo, com potenciais pagamentos baseados em taxas da indústria dependendo dos relatórios e sua gravidade.

O departamento de segurança cibernética do DICT validará os relatórios e dará àqueles com relatórios validados "certificado/reconhecimento apropriado pela contribuição do pesquisador no relato e/ou
resolução da vulnerabilidade validada". Entidades participantes do sector privado, após coordenar com o departamento de segurança cibernética do DICT, podem dar recompensas monetárias ou incentivos apropriados baseados nos mecanismos de incentivo estruturados delineados no VDPP.

Além de recompensas monetárias, também há o prestígio envolvido, pois divulgações responsáveis recebem algum tempo no destaque do governo. As recompensas incluem certificados digitais e impressos, reconhecimento público no VDPP e inclusão em outras citações do DICT, conforme a circular.

Um desenvolvimento muito necessário

Um programa nacional de recompensas bônus com regras definidas para participar no processo é uma boa notícia e um desenvolvimento muito necessário no espaço de segurança cibernética, pois deve ajudar a incentivar o hacking ético a longo prazo enquanto melhora os sistemas governamentais agora.

Se você é um profissional de segurança cibernética em ascensão, esta pode ser uma boa forma de entrar na indústria, desde que saiba o que está a fazer e faça o trabalho necessário para divulgações responsáveis.

Consulte a circular vinculada aqui para detalhes e envolva-se. Você pode estar a ajudar a melhorar a segurança governamental contra algumas pessoas más. – Rappler.com