EUA incluem Log4J em lista oficial de caçadores de recompensas

EUA incluem Log4J em lista oficial de caçadores de recompensas

Por Felipe Demartini | Editado por Claudio Yuge | 23 de Dezembro de 2021 às 16h20
Divulgação/Department of Homeland Security

O governo dos Estados Unidos incluiu a vulnerabilidade Log4J em seu programa oficial de bug bounty, o Hack DHS, que recompensa especialistas com dinheiro pela descoberta de brechas e falhas de segurança nos sistemas federais. A adição é uma resposta à ameaça descoberta há pouco mais de uma semana e que vem sendo taxada como a mais grave da última década, simplesmente por não exigir interação das vítimas para que os criminosos lancem suas explorações.

Justamente por conta disso, sistemas governamentais e corporativos se tornam um alvo mais lucrativo e interessante do que nunca. E é justamente por isso que, agora, o Departamento de Segurança Nacional (DHS, na sigla em inglês) planeja entregar incentivos extras para os responsáveis pela divulgação responsável de vulnerabilidades envolvendo o Log4J em sistemas da própria pasta.

Na visão de Jen Easterly, diretor da Agência de Cibersegurança e Infraestrutura (CISA, na sigla em inglês), a vulnerabilidade representa uma ameaça global e, como sempre, é importante ter especialistas de renome trabalhando ao lado das forças oficiais. A adição também é a primeira feita desde o lançamento do programa, que começou a aceitar submissões na última terça-feira (14), a partir de especialistas cadastrados e liberados pelo próprio governo.

Ao contrário dos programas comuns de bug bounty, a opção do DHS é composta por três fases, que devem acontecer ao longo de 2022. Inicialmente, os hackers terão acesso virtual a sistemas externos, com aqueles que descobrirem portas de entrada sendo convidados para um evento presencial de demonstração e exploração. Por fim, o governo americano trabalhará ao lado dele tanto na mitigação das vulnerabilidades quanto em novas iniciativas, que também poderão abranger as demais pastas da administração federal.

Como sempre, as recompensas são maiores, de acordo com a severidade de cada falha descoberta, mas os valores a serem pagos pelo governo não foram divulgados. A iniciativa também se une a outros projetos-pilotos realizados, por exemplo, pelo Pentágono, com o departamento de defesa dos EUA também realizando hackatons focadas na melhoria da segurança de seus sistemas e mitigação de eventuais portas de entrada.

A adição do Log4J no foco de atenção do governo dos EUA é mais uma demonstração da severidade da falha, que não exige e-mails de phishing ou outras interações para ser acionada, bastando o envio de comandos a servidores e sistemas comprometidos. São centenas de aplicações vulneráveis sendo atualizadas desde o dia 10 de dezembro, quando a brecha veio a público, e quase cinco milhões de ataques já registrados em todo o mundo, principalmente, contra redes corporativas.

Gostou dessa matéria?

Inscreva seu email no Canaltech para receber atualizações diárias com as últimas notícias do mundo da tecnologia.