Informações, notícias e muito mais!

Hackers: Empresas estão mais abertas aos avisos de bugs de segurança

Desde há muito tempo tenho lido sobre hackers que se [email protected]#$ quando reportavam para as empresas bugs de segurança encontrados em seus sistemas, numa tentativa de fazer o papel de “bom moço”. Será que o jogo está virando?

Parece, “parece” que desde o ano passado as empresas começaram a olhar com bons olhos esses avisos de vulnerabilidade, de acordo com uma pesquisa realizada com hackers éticos na HackerOne, plataforma que recompensa os hackers pelos bugs reportados.

De acordo com o Hacker Report 2018 da HackerOne, que pesquisou cerca de 2 mil white hat hackers em 100 países, as empresas estão um pouco mais abertas (38%) ou mais abertas (34%) para receber reports de vulnerabilidades. Apenas menos de 10% dos entrevistados disseram que as empresas estão menos abertas a “conversa”.

Por outro lado, cerca de 1/4 dos entrevistados disseram que não relataram vulnerabilidades devido o fato do fabricante do software afetado não possuir um canal de comunicação apropriado para receber os avisos.

Quando se trata de motivação, o dinheiro não é o mais importante – como foi no ano anterior. Há mais pesquisadores que querem aprender novas técnicas de hacking (14,7%), diversão (14%) e para o desafio pessoal (14%) do que as pessoas que o fazem pelo dinheiro (13,1%). Quase 1/4 dos entrevistados disseram que doaram para instituições de caridade o dinheiro obtido pela recompensa.

A maioria dos hackers entrevistas disseram que sites eram seu alvo favorito (70%), seguido de APIs (7,5%), aplicativos Android (4.2%) sistemas operacionais (3,1%) e sistemas de dispositivos IoT (2,6%).

Hackers: Empresas estão mais abertas aos avisos de falha de segurança
Hackers: Empresas estão mais abertas aos avisos de bugs de segurança / Fonte imagem: http://www.securityweek.com/firms-more-open-receiving-vulnerability-reports-ethical-hackers

Qual a ferramenta favorita dos hackers entrevistados?

O Burp Suite é a ferramenta favorita de quase um terço dos hackers, mas mais de 15% afirmam usar suas próprias ferramentas para encontrar vulnerabilidades. Outras ferramentas populares incluem proxies e scanners web, scanners de rede, fuzzers e debuggers.

A grande maioria dos white hats que se inscreveram na plataforma HackerOne, que hospeda os programas de recompensa de bugs de mais de mil organizações, têm menos de 35 anos, e muitos deles aprenderam a hackear por conta própria. A maioria trabalha em TI (software ou hardware), consultoria ou são estudantes.

Aproximadamente 66% gastam menos de 20 horas por semana, e apenas 13% gastam 40 horas ou mais. Mais de 71% têm menos de 5 anos de experiência e apenas 10% estão hackeando por mais de 10 anos.

Mais de 23 milhões de dólares foram pagos através da HackerOne, com mais de 4 milhões sendo pagos a pesquisadores nos EUA, 3 milhões para a Índia e 1,3 milhões de dólares para a Austrália e Rússia. O maior volume veio de empresas nos EUA (16 milhões de dólares) e no Canadá (1,2 milhões).

Em alguns lugares, os caçadores de bônus ganham muito mais do engenheiros de software em seu país. Por exemplo, na Índia e Argentina, ganham cerca de 16 vezes mais do que um salário médio anual de um engenheiro de software, enquanto em Hong Kong e Egito ganham 8 vezes mais.

Um quarto dos entrevistados disseram que as recompensas pelos bugs representam pelo menos metade de sua renda anual e 14%, que representam 90% a 100% de sua renda. 3% relataram fazer mais de 100 mil dólares por ano em programas de recompensas por bugs e 1% disseram ganhar mais de 350 mil dólares.

Fonte:

http://www.securityweek.com/firms-more-open-receiving-vulnerability-reports-ethical-hackers

Comentários