A realidade atual leva-nos a um cenário marcado pela tecnologia e pela segurança cibernética, onde os hackers desempenham um papel de liderança indiscutível. Investigamos a história e os desafios da HackerOne com o engenheiro de segurança, Laurie Mercer.
Por Irene Iglesias Álvarez
Tendemos frequentemente a associar a palavra hacker a conotações negativas; no entanto, a verdade é que as mentes excecionais, a capacidade estratégica e as competências especializadas são as qualidades mais procuradas no setor da segurança. Assim, tendo em consideração a situação atual marcada pela transformação digital, a tensão geopolítica, o crescimento exponencial e imparável das ameaças cibernéticas e a maturação do mercado da cibersegurança, o papel dos hackers tem vindo a ocupar uma posição de vanguarda. Das esferas empresariais às administrações públicas, todos querem ter entre as suas fileiras um perfil capaz de detetar vulnerabilidades e violações de segurança e encontrar soluções para as mesmas. Quebramos a aura de mistério e sigilo mergulhando no funcionamento interior da HackerOne, a plataforma que proporciona paz de espírito aos seus utilizadores graças às “mentes brilhantes” dos hackers que compõem o seu pessoal.
Laurie Mercer é o engenheiro de segurança que nos convida a descobrir a empresa que aspira a “capacitar o mundo para construir uma Internet mais segura” e “ganhar a confiança dos seus clientes e utilizadores através da privacidade, conformidade, segurança e transparência”. Foi assim que HackerOne nasceu e se transformou para alcançar os seus objetivos.
Como nasceu a HackerOne? O que nos pode dizer sobre os primeiros passos que a empresa deu em 2012?
Os fundadores, Jobert Abma e Michiel Prins, cresceram nos Países Baixos como hackers. Tinham 17 anos quando os seus pais, cansados de os ver colados ao computador, lhes disseram para os deixarem de lado e arranjarem um emprego ou criarem um negócio a partir das suas atividades de pirataria informática. Motivados por esta proposta, fizeram uma lista de 100 marcas de todo o mundo que pretendiam hackear e, além disso, propuseram a estas organizações que o fizessem. A fim de persuadir as empresas a dar-lhes luz verde, disseram-lhes que se não encontrassem nada, apresentariam a empresa com bolo para todos os empregados; no entanto, se tivessem êxito, a empresa teria de os convidar para uma reunião com bolo. Na verdade, nunca tiveram de comprar nenhum.
Dado o ritmo frenético de crescimento e modernização da tecnologia e do mercado da cibersegurança ao longo da última década, como diria que evoluiu de então para agora?
No ano passado, a plataforma HackerOne atingiu a marca de um milhão de hackers registados; no entanto, este número está sempre a crescer. Enquanto a maioria da comunidade está a explorar e a aprender, o número de vulnerabilidades relatadas pelos hackers está a aumentar todos os anos. Em 2021, o número de hackers que apresentavam vulnerabilidades aumentou 63% em comparação com o ano anterior. Há duas razões distintas para este crescimento contínuo: por um lado, organizações em todo o mundo estão a investir mais no hacking ético; por outro lado, cada vez mais pessoas querem participar na ação. Além disso, os incentivos para os hackers estão a tornar-se cada vez mais atraentes – de facto, até agora, pagámos mais de 200 milhões de dólares no total à causa. Desde 2019, cerca de 22 hackers ganharam mais de 1 milhão de dólares com o seu trabalho.
A HackerOne é frequentemente referido como um conjunto de hackers éticos ou hackers de chapéu branco, o que pensa que isto significa? Concorda com a designação acima referida?
Não consideramos os hackers como criminosos. A definição de hacker é alguém que gosta do desafio intelectual de superar limitações de forma criativa. Aqueles que utilizam habilidades de hacking para fins maliciosos seriam chamados cibercriminosos ou atacantes, por isso, sim, sentimo-nos representados por este conceito.
Com isto em mente, qual seria a missão da HackerOne hoje? Tem segmentos de negócio diferentes para o abordar?
O nosso objetivo é construir uma Internet mais segura, dando às organizações acesso à maior comunidade mundial de hackers éticos altamente qualificados. Armada com uma extensa base de dados de tendências de vulnerabilidade e referências da indústria, esta comunidade é capaz de mitigar o risco cibernético através de pesquisas seguras, encontrando e relatando fraquezas de segurança para organizações em todas as indústrias com superfícies de ataque cada vez maiores. A este respeito, a HackerOne fornece Programas de Divulgação de Vulnerabilidade que fornecem um canal claro através do qual se pode denunciar uma vulnerabilidade de software; Programas de Recompensa de Bugs que incentivam os hackers a encontrar vulnerabilidades com recompensas financeiras, bem como Pentests e o nosso produto de Gestão de Superfícies de Ataque recentemente lançado.
Se tivesse de fazer um esboço dos empregados da HackerOne, que tipo de perfis constituem as suas fileiras?
Um dos principais hackers espanhóis pertencentes à HackerOne é um CISO da Galiza. De acordo com o nosso Relatório Hacker, a maioria da comunidade (82%) define-se como hackers a tempo parcial e 35% têm também um emprego a tempo inteiro. Muitos deles, de acordo com os dados, são autodidatas e têm uma formação técnica: 37% dos hackers estudaram informática a nível de pós-graduação e 20% têm uma licenciatura. O hacking continua a ser uma atividade popular entre a Geração Z; 55% da comunidade tem menos de 25 anos de idade. Vale também a pena notar que a pirataria informática está a abrir caminho para o seu futuro: 33% utilizaram as suas competências para conseguir um emprego e 23% planeiam continuar a sua carreira na segurança da informação dentro de uma equipa de segurança interna.
E os seus clientes?
A HackerOne trabalha com organizações que oferecem serviços online que precisam de proteger os dados dos utilizadores e não podem correr o risco de se verem embaraçadas por uma violação de dados. Isto pode descrever muitas organizações diferentes, desde governos a bancos e empresas tecnológicas. Na Europa, a HackerOne trabalhou com empresas como Spotify, Beirsdorf e Lufthansa, e governos como a Comissão Europeia e o Ministério da Defesa do Reino Unido. Globalmente, a HackerOne trabalha com empresas na China tais como Alibaba e Tiktok, e na América com empresas como Goldman Sachs, Microsoft e Starbucks. Atualmente, existem mais de 3.000 empresas que utilizam a HackerOne a nível mundial.
O atual cenário geopolítico, os avanços tecnológicos e a sofisticação das técnicas e ferramentas têm ajudado o crescimento exponencial dos bandos de cibercriminosos e ciberataques, qual é a sua filosofia e estratégia para os confrontar?
As empresas já não podem evitar o problema. A única forma de se defender contra um ataque cibernético é hackear-se a si próprio. As empresas precisam de construir resiliência no seu ADN, e a verdade é que só se é resiliente quando se experimentou a mesma metodologia que o adversário.
No seu website afirma ser um líder em Gestão de Resiliência de Ataque (ARM), o que é que isto implica?
O nosso último relatório sobre resistência ao ataque mostra que as organizações enfrentam um fosso significativo entre o que são capazes de proteger e o que precisam de proteger: o fosso de resistência ao ataque. Muitos não estão confiantes de que podem colmatar a lacuna porque sofrem de falta de visibilidade no seu perímetro de segurança. Abordamos esta questão combinando a perícia em segurança dos hackers éticos com a descoberta de bens, avaliação contínua e melhoria de processos para encontrar e suturar a lacuna. Chamamos a isto Gestão da Resiliência de Ataque. Lançámos recentemente um produto dedicado – HackerOne Assets – que proporciona a descoberta e monitorização de todos os bens conhecidos e desconhecidos.
As organizações que conhecem o seu défice de resistência ao ataque estão numa posição mais favorável para melhorar a sua postura de cibersegurança e transformar os seus negócios, mantendo-se à frente das ameaças. A comunidade HackerOne é um ativo poderoso para aumentar a visibilidade, monitorizar e dar prioridade aos riscos na paisagem digital de uma organização. Acreditamos que isto faz de nós um líder da indústria.
O que nos pode dizer sobre o programa de recompensas da HackerOne? Há duas recompensas, uma para a deteção de bugs e outra para a sua reparação, como é que funciona?
A HackerOne gere o seu próprio programa público de recompensa por qualquer vulnerabilidade nos nossos sistemas. A plataforma oferece até 25.000 euros por uma vulnerabilidade e já pagou mais de 600.000 euros no total. A HackerOne paga uma recompensa quando confirma que uma vulnerabilidade é válida e única. A plataforma prossegue então para corrigir a vulnerabilidade. Uma vez reparada, a HackerOne pedirá ao remetente que volte a testar a vulnerabilidade por uma pequena taxa. Este modelo tem funcionado muito bem para nós.
Os hackers rodeiam-se frequentemente de uma aura de mistério e desconfiança, quais são as vantagens de os integrar nas empresas?
Quando se assiste a um espetáculo de magia, este pode parecer misterioso e até fantástico. Depois, quando se compreende como funciona o truque, esta perceção desaparece. Os hackers são técnicos que investiram tempo no domínio da tecnologia para descobrir lacunas e truques técnicos. Quanto à desconfiança, a HackerOne acredita que a transparência é o melhor remédio, razão pela qual todos os hackers têm um perfil público onde lhes permitimos incluir as suas contas no Twitter e LinkedIn, e lhes permitimos mostrar a sua pesquisa de segurança através da Hacktivity. A clareza gera confiança.
Hoje, vemos que as atitudes em relação aos hackers estão a mudar, com cada vez mais organizações a utilizarem o conhecimento da comunidade hacker para se protegerem melhor. As iniciativas governamentais e o número crescente de Programas de Divulgação da Vulnerabilidade geridos por instituições públicas também têm sido um catalisador para esta mudança. A nossa colaboração bem-sucedida com o Departamento de Defesa dos EUA em julho de 2022 resultou na participação de 267 hackers éticos que identificaram mais de 349 relatórios acionáveis.
Para onde se dirige o futuro da cibersegurança?
O futuro da cibersegurança reflete a evolução mais ampla da tecnologia. Hoje em dia, na Europa, a migração das clouds, a transformação digital e as novas tecnologias estão a ser abraçadas pelas grandes empresas. Entretanto, as pequenas empresas em fase de arranque têm vindo a utilizar estas tecnologias há anos, pelo que podemos aprender lições com estes pioneiros. Uma das lições é que a cloud é totalmente diferente das plataformas tecnológicas herdadas. As empresas precisam de formar plenamente o seu pessoal para compreenderem as novas tecnologias e os modelos de ameaça. Outra lição é que à medida que o desenvolvimento de software se acelera, a segurança tem de acelerar. Uma peste anual não é suficiente. Não contrataria um segurança para o seu escritório durante um dia por ano se este estivesse aberto 365.
Nesse cenário de amanhã, que peso terão a HackerOne e os hackers que compõem a plataforma?
A HackerOne apoia organizações na sua jornada de transformação digital e complementa as equipas de segurança com os conhecimentos e perícia dos hackers. Estou convencido de que desempenharão um papel mais importante no futuro, e serão integrados no ciclo de vida de desenvolvimento de software desde o início em termos de testes de código e revisões de segurança, até ao fim, quando surgirem vulnerabilidades. É um momento muito emocionante para ver novos hackers, clientes e parceiros juntarem-se à nossa plataforma. Em última análise, isto irá fomentar novas oportunidades de aprender uns com os outros e melhorar a resiliência cibernética para todos.