"O Portal Top em Notícias do Sul”

TECNOLOGIA E SEGURANÇA: Brasileiro recebe maior prêmio do Facebook após encontar bug

26/01/2014 12:15

Reginaldo Silva recebeu R$ 80 mil, a maior recompensa da história da rede social após encontrar brecha de segrança.

O Facebook pagou, nesta última semana, a maior recompensa da história da rede social a um “caçador de bugs”: 33,5 mil dólares, ou cerca de 80 mil reais. O premiado foi o mineiro Reginaldo Silva, engenheiro da computação de 27 anos, que encontrou uma brecha de segurança que permitia a execução de códigos remota afetando os servidores do site.

 

A premiação vem por meio do programa Facebook Bug Bounty, inaugurado pela rede social em novembro passado. Silva reportou à empresa todo o procedimento feito até chegar à falha, que foi logo corrigida pelos engenheiros do próprio site – todo o longo processo, aliás, você pode conferir aqui. O valor entregue ao brasileiro foi definido de acordo com a gravidade da brecha – e pela alta soma, dá para imaginar o estrago que o bug poderia causar se tivesse sido descoberto por um cracker.

Hoje residente em São José dos Campos (SP), o mineiro formado pelo Instituto Tecnológico da Aeronáutica (ITA) falou a INFO sobre sua carreira como especialista em segurança da informação e caçador de bugs – e ainda dá algumas dicas para quem quer começar na área.

Primeiro, quando você começou a se interessar e a procurar por bugs de segurança pela internet? E qual foi o primeiro que encontrou?

Eu me interesso por segurança da informação já há 10 anos, e meio que decidi fazer carreira nessa área. A primeira falha que encontrei pela internet foi em um framework para programação Web em Java, chamado Play Framework. O processo para isso é sempre o mesmo: ler o código fonte do software pacientemente, enumerar os problemas – por mais simples que sejam – e ver as maneiras pelas quais eles podem ser explorados. Mas quando o código fonte não está disponível, é na base da tentativa e erro mesmo.

Até hoje, quantas falhas já achou? Todas renderam algum tipo de recompensa? 

Estimo que algumas centenas, somando os bugs que acho atuando profissionalmente e os de vários programas de recompensa ao redor da internet. Procuro bastante por falhas também em software de código livre, então muitas das que acho não rendem nenhuma recompensa financeira imediata. A principal é mesmo ter o trabalho reconhecido e saber que estou contribuindo para uma internet mais segura. E como também atuo como consultor, a notoriedade gerada pela associação do meu nome à descoberta de falhas importantes ajuda a atrair clientes.

Antes de receber essa recompensa do Facebook, você já havia parado até em um hall da fama do Google. Como isso aconteceu? 

O Google mantém um "hall da fama" que lista os pesquisadores que mais relataram falhas de segurança à empresa. Como reportei alguns problemas ao longo de 2012 e 2013, acabei indo parar nessa lista. [A tabela foi criada em novembro 2010, junto do programa de recompensas do Google. Ela é atualizada de três a quatro vezes por ano, e Reginaldo Silva não é o único brasileiro na lista.

Agora no caso específico do Facebook, esse foi o primeiro bug que você achou? Como foi o procedimento? 

Não foi o primeiro que encontrou na rede social, mas a falha com o maior impacto. Na verdade, achar uma brecha grave, que possibilitaria a invasão no site de uma grande empresa é o objetivo de todo profissional na área de segurança, e estou sempre tentando fazer isso.

Achei o problema quando estava testando a segurança da parte do site que é utilizada quando o usuário esqueceu a senha. Suspeitei que o Facebook pudesse estar vulnerável a uma falha semelhante a outra que eu já tinha descoberto em 2012, quando estava a segurança do Drupal, o gerenciador de conteúdo de código aberto. 

A falha permitia ler arquivos internos do servidor do Facebook, e com ela em mãos, pensei em um cenário que poderia ser utilizado para concretizar a invasão – ou seja, o comprometimento total dos servidores da empresa. Como não tinha permissão para testá-la, apenas relatei o que tinha descoberto ao time de segurança do Facebook, que confirmou minha teoria. [O relato completo de Silva está disponível em sua pessoal, em inglês.]

A alguém que queira começar a caçar bugs ou mesmo uma carreira em segurança de informação, o que você recomenda?

Há muito material, principalmente em inglês. Para segurança na web, recomendo os livros “The Tangled Web”, de Michal Zalewski, e “The Web Application Hacker’s Handbook”, de Dafydd Stuttard e Marcus Pinto. Uma abordagem sistemática sobre análise de código está no livro “The Art of Software Security Assessment”, considerado por muitos a bíblia da área. Além dos livros, leio muitos blogs de segurança, tanto de empresa quanto de desenvolvedores e pesquisadores. 

Mas a melhor forma mesmo é acompanhar as falhas de segurança nas páginas dos próprios frameworks e software, olhas os commits que consertam as falhas e tentar explorá-las. Além disso, também vale ver uma falha e pensar: “Onde será que vou achar outro problema desse tipo?”.

E além do procedimento padrão, de ler o código fonte atentamente e enumerar problemas, você usar alguma ferramenta em especial no trabalho? 

Meu editor favorito é o GNU Emacs, que posso personalizar do jeito que eu gosto. No dia a dia, utilizo muito uma ferramenta chamada Burp Suite, para pausar e modificar as requisições feitas aos servidores web. Mas a verdade é que passo grande parte do tempo na linha de comando, utilizando as ferramentas Unix padrão. Grip, Sed, Awk, Curl, etc... Sou mais rápido na linha de comando do que em uma interface gráfica, para ser sincero.

 

Fonte: Exame

Post. Eloídes Nunes.

 

Notícias:

17/01/2018 17:58

PUBLCIDADE: Participe do Promocional do SuperBenedetti ''SHOW DE ANIVERSÁRIO BENEDETTI.... UM PRESENTE PARATI'' 2 Fiat MOBI Zero Km – Crissiumal e Três de Maio – RS

Na compra de 05 (cinco) envelopes de refresco TRINK mais 01 (um) pacote de Biscoito Recheado Hot Cracker ou 01 (um) pacote de Biscoito Recheado Cartoon no SuperBenedetti em Crissiumal ou Três de Maio – RS, o cliente tem direito a um cupom e concorre a 2 Automóveis Fiat Mobi Easy 1.0, 04 portas, um...
17/01/2018 10:06

EDUCAÇÃO: Inscrições para o Processo Seletivo para a Contratação de Auxiliares de Educação Infantil, encerram-se nesta quarta-feira (17) em Crissiumal - RS

As inscrições deverão ser realizadas na Secretaria de Educação até às 13h00min, desta quarta-feira (17). A Prefeitura Municipal de Crissiumal, através da Secretaria de Educação e Cultura (SMEC), está contratando, em caráter emergencial, Auxiliares de Educação Infantil. São 15 vagas disponíveis e...
17/01/2018 06:49

PLANTÃO POLICIAL: Brigada Militar prende rapaz por tráfico de drogas em Humaitá – RS

Na tarde desta terça-feira (16/1) Policiais Militares do 7º BPM realizaram a prisão de um indivíduo por tráfico de Drogas. O indivíduo, um homem de 21 anos de idade, estava na frente de uma residência e ao perceber a viatura ficou nervoso e tentou fugir, contudo foi alcançado pelos Brigadianos e...
12/01/2018 11:12

EVENTO: Participe do 48º Congresso Nacional da JEC do Brasil em Crissiumal - RS

O JEC (Juventude Evangélica Congregacional) sediará nos dias 25 aos 28 de janeiro o 48º Congresso Nacional em Crissiumal – RS com o Tema: O que me falta? Em 2017 o Congresso foi realizado em Capanema no estado do Paraná. Neste ano de 2018, nos dias 25 aos 28 de janeiro, o Congresso do JEC ocorrerá...
11/01/2018 17:27

TRÂNSITO: Prefeitura de Três Passos realiza revitalização da Rua Visconde de Mauá

A administração Municipal de Três Passos deu início ontem (10), à recuperação de mais uma via através do Programa Três Passos de Cara Nova. Com recursos próprios da municipalidade, fruto de economias realizadas pela atual gestão, a Rua Visconde de Mauá receberá o asfaltamento...
11/01/2018 17:07

ESPORTES: Craques do Futuro de Três Passos oferece novidades para as aulas de Futebol em 2018

Com 18 anos de história no cenário esportivo, utilizando o futebol como ferramenta para educar, a Escola de Futebol Craques do Futuro estará a partir do mês que vem com aulas de Futebol para o sexo feminino.  As aulas de futebol terão por local a sede da Associa, tendo como professora...
11/01/2018 16:41

CULTURA: Todas as quintas-feiras, nas redes sociais da Prefeitura de Nova Candelária, um resgate da história de 21 anos de desenvolvimento

Relembrar-se com carinho do passado e valorizar toda a história por trás de vitórias e conquistas é fundamental, para que haja sempre respeito e reconhecimento. Desta forma, iniciou-se na quinta-feira, 11 de janeiro, uma série de postagens com vídeos e imagens de Nova Candelária após a...
11/01/2018 16:17

GERAL: Carteira de Habilitação brasileira passa a valer na Itália

O presidente Michel Temer assinou ontem (10) um decreto que trata do reconhecimento de carteiras de habilitação brasileiras na Itália. Da mesma maneira, as carteiras de motorista aa Itália serão reconhecidos no Brasil. O decreto origina-se de um acordo firmado em novembro de 2016...
11/01/2018 15:54

GERAL: Expediente Interno do Paço Municipal de Crissiumal encerra nesta quinta-feira

Encerra-se nesta quinta-feira, dia 11 de janeiro o Expediente Interno junto ao Paço Municipal de Crissiumal. A determinação foi através do decreto nº 172/2017, o qual estabelecia Expediente Interno, no período do dia 02 à 12 de janeiro de 2018, sem atendimento ao público. A medida foi tomada para...
11/01/2018 15:38

TRÂNSITO: Motorista perde controle em rótula, derruba grades e colide contra residência em Santo Ângelo - RS

Um acidente de trânsito foi registrado por volta das 22h30min de quarta-feira (10), quando o motorista de um veículo acabou se perdendo em uma rótula, derrubou grades e colidiu contra a parede de uma residência. A ocorrência foi registrada na Rótula da Avenida Getúlio Vargas com a Rua...

Contato

TopSul Notícias - O Portal Top em Notícias do Sul!

topsulnoticias@gmail.com
topsulcrissiumalrs@gmail.com

Cel.: (55) 9.9148-8420

Pesquisar no site

-

www.topsulnoticias.com.br - TopSul Notícias.

© 2013 - 2017 - Todos os direitos reservados.