Read, hack, repeat

Caçando falhas ao vivo: quando o fenômeno das lives encontra o bug bounty

Ramon de Souza 0 min

As transmissões ao vivo viraram febre desde que o mundo inteiro se viu obrigado a ficar em quarentena por conta da pandemia do novo coronavírus (SARS-CoV2). Impedidos de realizar shows presenciais para evitar aglomerações, artistas perceberam que as “lives” são uma ótima forma de manter seu público entretido ao mesmo tempo em que arrecada doações para famílias necessitadas. O fenômeno está fazendo tanto sucesso que está até mesmo sendo aproveitado por golpistas para desviar dinheiro com “lives-pirata”.

Porém, nem só de performances de sertanejo vive a internet. Em um universo mais, digamos, underground, pesquisadores e entusiastas de segurança da informação também passaram a fazer suas próprias transmissões, exibindo suas habilidades de programação e de caça aos bugs em tempo real. Pois é: você pode até não saber, mas o bug bounty e o mundo das lives já se encontraram e o resultado está sendo, no mínimo, promissor.

“Outras pessoas já faziam algo parecido com isso, muitos estrangeiros e alguns poucos brasileiros, como o Igor Rincon, o Manoel Abreu, o Gustavo Robertux e o Caio Lüders; e, no momento em que a quarentena por causa da pandemia da COVID-19 começou, veio uma enchente de live streams”, explica Guilherme “Keerok” Assmann, em entrevista à The Hack.

“No início eu estava mais focado em fazer bug bounty etc., mas acabei vendo que eu poderia fazer lives falando sobre bugs, procurando como explorar alguns bugs em específico, compartilhando ideias e assim por diante, para melhorar e me ajudar em outras coisas”, completa.

Para Keerok, a experiência poderia lhe permitir estudar e testar ao vivo “sem comprometer ninguém e nenhuma empresa”, mostrando como algo funciona e até mesmo obtendo ajuda de seu público em uma colaboração bilateral. “O aprendizado fica mais fácil e rápido para todos os lados, e é muito bom aprender algo novo com os inscritos”, garante.

Educando e trocando experiências

Keerok, que tem 21 anos de idade e quatro anos de experiência na área de segurança da informação, trabalha como consultor na Pride Security e tem seu nome listado no “hall da fama” de empresas de renome como Twitter, Tumblr e Imgur graças aos seus esforços como caçador de bugs. O ano de 2017 foi um dos principais pontapés para sua carreira, quando o especialista foi o vencedor da edição de Porto Alegre do Hackaflag; posteriormente, Guilherme foi chamado para colaborar na organização do CTF.

Tanto o YouTube quanto o Twitch (tradicionalmente usado em gameplays) viram palco para o bug hunter fuçar, de forma descompromissada, em sistemas e softwares para uma fiel platéia virtual — e esse, ao que tudo indica, é justamente seu diferencial de sucesso. “A minha live fica mais no estilo para a pessoa entrar lá, errar junto comigo e aprender junto comigo; é mais o estilo ‘show me the code’ do que qualquer outra coisa”, diz.

Caio Lüders, citado por Keerok, também utiliza o Twitch para transmitir seus projetos (Reprodução: Twitch)

Questionado sobre a receptividade de suas transmissões, Keerok afirma: “É muito boa, tenho um pessoal que já sei que sempre está presente nas lives e sempre tem algumas pessoas novas entrando e perguntando o que está acontecendo ali. Eu não sou muito bom com a questão de marketing/divulgação, geralmente eu apenas publico um tweet antes de começar a live, mas eu estou melhorando este aspecto para conseguir atingir um público com o mesmo interesse”, explica.

Entrando no mundo dos caçadores

Em comparação com o resto do globo, o Brasil ainda não é um grande adepto do bug bounty — é raro encontrar empresas nacionais que mantenham um programa organizado de recompensas e que reconheça o trabalho dos profissionais que se dedicam à tal atividade. Talvez isso justifique a dificuldade que as plataformas enfrentam na hora de se estabelecer neste mercado.

O Hackaflag, por exemplo, é a primeira e maior plataforma brasileira unificada para bug hunters: ela é composta pelos módulos Academy (com cursos online sobre hacking e segurança da informação), CTF (maior campeonato estilo capture the flag da América Latina) e Bug Bounty (que é efetivamente o canal através do qual as empresas podem receber falhas encontradas por especialistas cadastrados, recompensando-os de acordo com o nível da brecha em questão).

“O Hackaflag já conta com mais de 12 mil pesquisadores cadastrados, temos mais de 5 grandes empresas e bancos parceiros. O nosso diferencial é a nossa plataforma que consegue filtrar os jogadores por habilidades: baseando-se em seus desempenhos nos CTFs realizados pela empresa, conseguimos medir tanto softskills quanto hardskills através de análises obtidas em diversos vetores, até mesmo através do uso do mouse”, explica Boot Santos, responsável pela plataforma.

“O relacionamento do Hackaflag com a comunidade hacker permite a intermediação dos parceiros com profissionais éticos e habilidosos. A nossa plataforma permite o acompanhamento do desenvolvimento de profissionais desde o interesse na área, incentivando o estudo e mencionando a ética nos cursos do Academy da nossa plataforma”, complementa.

  • Leia mais notícias sobre Hacking.

Para Keerok, as lives de bug bounty são “um ótimo incentivo” para impulsionar profissionais a se envolver nesse universo. “Gosto de compartilhar meus conhecimentos com os outros e gosto quando isso é recíproco, pois é dessa forma que evoluímos para conseguir achar mais bugs. Às vezes, para os outros, ver a perspectiva de outra pessoa em relação a um trecho de código pode ser o que ela realmente precisava para evoluir em algo ou ter alguma nova ideia”, finaliza.

Caso queira saber mais sobre bug bounty e o Hackaflag, acesse o site oficial da plataforma.


Compartilhar twitter/ facebook/ Copiar link
Você se inscreveu com sucesso no The Hack
Bem vindo de Volta!
Massa! Você se registrou com sucesso.
Sucess! Sua conta está completamente ativada.