1.022 pontos de reputação por bugs encontrados e uma qualidade do relatório de 4.5 são os números que projetaram David Sopas, especialista em segurança informática, para o primeiro lugar do programa de caça ao bug da Cobalt.io, uma espécie de mercado que permite às empresas lançarem facilmente os seus programas Bug Bounty.

Como é que um português, nado e criado na Figueira da Foz, conseguiu esta reputação, sendo o primeiro a ultrapassar os mil pontos ?

Para conseguir progredir neste programa é necessário descobrir falhas de segurança em sites dentro dos programas de bounties Cobalt.io, seguindo a lógica da caça aos bug que se têm popularizado na Internet e que apostam no crowdsourcing para procurar falhas de segurança em sites e aplicações, antes que os “maus da fita” as encontrem e as possam explorar de forma danosa. Há vários níveis de vulnerabilidades, com criticidade baixa, média ou alta, sendo que as mais críticas ganham mais pontos e recompensas. E cada uma tem um modelo de remuneração, que pode ir de  valores médios de 50 a 1.000 euros.

[caption][/caption]

Mesmo em part-time, com uma ocupação de cerca de uma a duas horas por dia, David Sopas viu o seu trabalho reconhecido. “É preciso ter sorte e procurar onde os outros "researchers" não procuram - pensar "out-of-the-box". Por vezes é encontrar uma agulha num palheiro mas essa procura por vezes é bem recompensada”, explicou ao TeK.

E o conhecimento envolvido? David Sopas começou a programar cedo, inicialmente em modo autodidático com Basic e C e depois já na escola aprendendo Pascal, C++ e Visual Basic, enquanto nos tempos livres explorava o Python e usava o IRC para “trocar” conhecimentos. Dai passou a escrever as suas ferramentas de segurança e artigos em sites internacionais, como o Bugtraq e Secunia. Em 2009 fundou o WebSegura.net, onde foi revelando algumas falhas relevantes de segurança, que foram noticiadas também pelo TeK para o qual escreveu também artigos de opinião.

Apesar da bagagem, David Sopas reconhece porém que neste género de programas também é preciso sorte e lembra casos em que a descoberta ocasional de uma falha tipo XSS (Cross-Site Scripting) no Google fez com que um utilizador ganhasse os famosos 1.337 dólares.

David Sopas aderiu ao Cobalt.io em março deste ano e foi o primeiro a chegar aos mil pontos, estando atualmente no top dos últimos 30 dias e nos melhores de sempre. Mas está também listado nos agradecimentos públicos [security acknowledgements] da Microsoft, Google, eBay, Nokia, Adobe, Etsy, entre outras.

Há outros portugueses na Cobalto.io e também no BugCrowd, e David Sopas garante ao TeK que a qualidade dos portugueses na área da segurança informática é bastante reconhecida, mas defende que há falta de apoios.

“Em algumas conversas com profissionais na área lá fora, tive conhecimento que respeitam Portugal pela qualidade dos seus profissionais. Temos boas empresas de segurança informática. É pena é não haver um apoio por parte do governo e de muitas empresas na qualidade apresentada no nosso país. Resta-nos fazer o melhor que podemos e dignificar Portugal”, justifica.

Próximos passos? “Os meus objetivos na Cobalt.io são manter-me no Top 3 e ajudar a angariar cada vez mais empresas para programas públicos ou privados”, adianta ao TeK. Por isso é provável que o vamos encontrando mais vezes por ai.  

 

Entretanto se quiser saber um pouco mais da história dos programas de Bug Bounty pode ver esta apresentação preparada pela Cobalt.io.

 

 



Nota da Redação: Foi feita uma correção em relação à referência aos pontos de reputação.