Quem entende o mínimo de programação sabe que nenhum software é concebido absolutamente sem falhas no código. Ainda mais em programas complexos, como navegadores ou sistemas operacionais. As brechas de segurança são inevitáveis. Cabe à desenvolvedora, então, após o lançamento da versão final do produto, continuar aperfeiçoando o software com atualizações. Muitas vezes, tais upgrades consistem apenas em correções de segurança. Alguma falha foi encontrada e os desenvolvedores, para evitar que pessoas mal intencionadas a explorem, lançam um patch de segurança fechando tal brecha.
Nos EUA acontece um evento hacking bastante conhecido, chamado de Pwn2Own. Nele, vários hackers talentosos se reúnem para procurar exploits nos principais navegadores do mercado. No ano passado, o Safari e o Internet Explorer foram os que mais sofreram nas mãos dos hackers. Foram invadidos o maior número de vezes. O Google Chrome, por sua vez, nunca foi invadido durante os seis anos desta competição. Essa “invencibilidade”, apesar de ser boa por um lado, é ruim por outro. O lado ruim da coisa é explicado pela própria equipe de desenvolvimento do navegador, no blog oficial:
Enquanto estamos orgulhosos do importante histórico do Chrome em competições passadas, o fato é que não receber exploits significa que é mais difícil aprender e melhorar. Para maximizar nossas chances de receber exploits este ano, nós aumentamos as apostas. Vamos oferecer patrocínio direto com até US$1 milhão em prêmios.
Enquanto a invencibilidade é boa para afagar o ego dos desenvolvedores, por outro lado ela prejudica, pois desta forma a equipe de desenvolvimento não tem como aprender com seus erros e melhorar ainda mais o navegador, já que a concorrência neste mercado é bem acirrada. Como forma de incentivar os participantes do evento, eles resolveram fazer uma proposta irrecusável. O camarada que se dispuser a encontrar falhas no Chrome, poderá ganhar até US$ 1 milhão, mas eu lhe garanto que não será nada fácil alcançar esta quantia.
Se o participante encontrar um exploit completo no programa, ou seja, ter acesso à conta de usuário se valendo apenas de bugs no código-fonte do browser, ele levará US$ 60.000. Se ele usar falhas no Webkit, no Flash ou no driver para explorar o Chrome, ele levará prêmios menores, mas ainda assim tentadores. Ele pode ganhar US$ 40.000 ou ainda US$ 20.000 pela falha descoberta. O máximo que o hacker poderá receber é 1 milhão de dólares. Para isso ele terá de encontrar mais de 15 falhas no navegador se contarmos apenas as que valem o preço máximo! Para receber a recompesa, porém, o participante deverá explicar como funciona a falha nos mínimos detalhes, para que a empresa possa fazer as devidas correções.
Recompensar financeiramente hackers que se dispõem a encontrar falhas de segurança em softwares é uma prática comum no mercado de tecnologia. Grandes empresas como Mozilla e Facebook já fazem isso há algum tempo. A Google também, a diferença é que desta feita ela resolveu aumentar significativamente o valor do prêmio. Esta tem se mostrado uma ótima forma de melhorar a segurança dos programas, já que os mais talentosos hackers do planeta estão se empenhando em quebrar a segurança do seu programa. E US$ 1 milhão… fala sério! Se eu tivesse conhecimento para tanto até eu entraria na onda! Mas alguma coisa me diz que é mais fácil eu ganhar 1 milhão no BBB do que explorando falhas no Chrome. De qualquer forma, vou continuar escrevendo para o Guia do PC.
[Chromium Blog, Forbes]
