Diferenças entre Bug Bounty e Pentest

-



À primeira vista, Bug Bounty e Pentest podem parecer a mesma coisa, pois ambos são testes realizados em um sistema que reportam falhas de vulnerabilidade. Mas existem diferenças fundamentais entre as duas modalidades.

Pra começar, o pentester é um funcionário contratado por uma empresa para realizar testes de intrusão. Pode ser também uma empresa contratada para esta atividade, quando a empresa principal não tem um fluxo constante de lançamento de produtos, ou por qualquer outro motivo. De qualquer maneira, no pentest existe vínculo entre a empresa e o profissional.

Pentest é a abreviação de Penetration Test, ou seja, um teste de intrusão autorizado pela empresa que será atacada. Assim como no programa de Bug Bounty, o objetivo é identificar as vulnerabilidades do seu sistema.

Antes de colocar um sistema em produção, a empresa contrata o serviço de pentest para que o seu produto seja submetido a uma sabatina de testes que irá identificar vulnerabilidades para que a equipe de projeto possa corrigi-las antes do produto ser entregue ao cliente. O profissional de pentest então poderá retestar o sistema para garantir que o problema foi solucionado e a vulnerabilidade não existe mais.

O pentest também possui um escopo definido, mas é um projeto com um tempo definido de execução. O Bug Bounty, por outro lado, é um programa contínuo, sem a noção de começo, meio e fim.

A atividade de pentest precisa garantir que o escopo foi testado por completo e por isso segue uma metodologia bem definida. A OWASP é uma das metodologias aplicadas, que serve de referência para os testes que serão realizados. No Bug Bounty, apesar de existir um escopo, nenhum bug hunter precisa se comprometer a testar tudo. Ele pode seguir a metodologia a seu critério. Por exemplo, se este profissional conhece apenas uma ou duas técnicas, não existe impedimento para que ele faça a sua exploração apenas com elas. 

Portanto, o pentest é mais organizado ao passo que o Bug Bounty é ad-hoc. Não é possível prever o que e quando algo será testado, pois existem muitas pessoas trabalhando ao mesmo tempo de forma dessincronizada (cada um por si) no Bug Bounty. É provável que muitas funcionalidades sejam testadas de maneira redundante enquanto outras funções ficam descobertas de teste.

Quanto ao nível de exploração, o pentester é pago para fazer um ataque mais profundo que o bug hunter. Ao bug hunter é recomendado que, assim que descubra uma vulnerabilidade, a relate indicando potenciais impactos. Por outro lado, o pentester precisa prosseguir, explorando os efeitos colaterais da vulnerabilidade e demonstrar o real impacto no produto através de uma prova de conceito (POC). Para que isto seja possível, o pentester precisa entender a fundo o sistema que ele está testando. 

O relatório de um pentest é também mais completo, pois não se limita a reportar as falhas: possui uma descrição do ambiente testado, metodologia, tipos de teste aplicados e recomendações para tornar o sistema mais seguro. Para se ter uma noção quantitativa, o relatório de um pentest tem dezenas de páginas, enquanto o de Bug Bounty se resume a uma ou duas páginas com as informações principais.

Por último falaremos da remuneração. O pentester é um profissional com vínculo empregatício com a empresa diretamente, ou através de uma empresa terceira. Receberá o seu salário pelo tempo dedicado ao serviço ou pelo projeto, independente do resultado que vai encontrar. Neste ponto, o trabalho de pentester é igual a um modelo de trabalho empresa-funcionário tradicional. Já para o bug hunter a remuneração é totalmente incerta. Não importa se o profissional gastou 1 ou 100 horas realizando o seu trabalho: ele irá ser recompensado de acordo com o número e criticalidade das falhas que encontrar. É portanto um retorno muito mais associado ao resultado que ao tempo de dedicação.

Segue uma tabela sumarizando as diferenças entre pentest e Bug Bounty:


Entendidas as diferenças, o leitor já pode ter se identificado mais com uma ou outra modalidade. Para quem quer se dedicar em tempo parcial à caça dos bugs, não vejo outra alternativa a não ser o Bug Bounty. Isto porque ele lhe permitirá trabalhar 1 hora por semana se quiser, enquanto um pentester terá que se comprometer com um tempo de dedicação muito maior. Além disso, o Bug Bounty permitirá que o iniciante dê seus primeiros passos, ao passo que um projeto de pentest espera que o profissional já tenha uma experiência acumulada.


Gostou do conteúdo? Acompanhe-nos em nosso grupo do Telegram:
Bug Bounty para Iniciante


Comentários

Postar um comentário

Postagens mais visitadas deste blog

Como escolher um programa de Bug Bounty?

-
Imagem
Existem programas de Bug Bounty públicos e privados. Apesar de menor concorrência, os programas privados não são necessariamente melhores que os públicos. Quero mostrar algumas formas de avaliar rapidamente cada um deles utilizando as informações que estão disponíveis nas plataformas como a HackerOne . Vou colocar 5 fatores a serem considerados e explicar cada um na sequência: Interesse pelo assunto Em primeiro lugar, o mais importante dos aspectos: você precisa ter interesse pelo assunto que irá explorar. Lembro-me de iniciar minha aventura de Bug Bounty por um site médico, onde os profissionais podiam fazer uploads de dados para o sistema e consultar visualizações. O fato é que eu não sou médico e não entendia nem metade das coisas que estavam sendo processadas ou visualizadas. Era como caçar às cegas. Não gostei da experiência, não consegui achar nenhuma falha e pior, este programa quase me fez desistir de continuar.  Como você vai aprender, o processo de bug hunting é repetitiv...
Leia mais

Stack overflow

-
Imagem
O stack overflow Como sabemos, a stack do processador é usada para múltiplos propósitos: ela guarda dados, mas também o endereço de onde o Program Counter deve ir quando uma função retorna. Por causa disto, uma escrita nos dados da stack pode alterar o fluxo do programa, caso seja feita de maneira incorreta (ou ainda maliciosa). Imagine um buffer sendo definido localmente em uma função. Ele consequentemente será alocado na stack. Se o programa tentar escrever além dos limites do tamanho do buffer, escreverá em dados que não fazem parte do buffer e, eventualmente, escreverá também na posição do endereço de retorno da função. Para testar um buffer overflow, o pesquisador insere uma entrada para o programa executável com uma grande quantidade de caracteres, por exemplo: payload = AAAAAAAABBBBBBBBCCCCCCCCDDDDDDDD...etc  São usadas 8 letras de cada para um processador de 64 bits. Seriam 4 letras para um processador de 32 bits. Se uma quantidade que excede o tamanho do buffer causar um e...
Leia mais