October 24, 2025 • 37 mins
Neste episódio, exploramos o que realmente faz um programa de Bug Bounty funcionar — além dos prêmios em dinheiro. Conversamos sobre como alinhar a iniciativa às demandas de Application Security, desde o desenho das políticas até o processo de triagem dos relatórios recebidos. Discutimos como priorizar vulnerabilidades, evitar ruído e transformar descobertas da comunidade em melhorias reais de segurança. Um papo direto sobre maturidade, cultura e eficiência em programas de Bug Bounty.
Become a supporter of this podcast: https://www.spreaker.com/podcast/devsecops-podcast--4179006/support.
Apoio: Nova8, Snyk, Conviso, Gold Security, Digitalwolk e PurpleBird Security.
Become a supporter of this podcast: https://www.spreaker.com/podcast/devsecops-podcast--4179006/support.
Apoio: Nova8, Snyk, Conviso, Gold Security, Digitalwolk e PurpleBird Security.
Mark as Played
Transcript
Episode Transcript
Available transcripts are automatically generated. Complete accuracy is not guaranteed.
(00:22):
Eu ganhei violão de adversário que eu quero aprender a Nunca toquei instrumento nenhum.
Você fez o sinalzinho e eu lembrei que preciso praticar hoje.
Todo dia eu faço alguma coisa ali para desenrolar.
Boa, boa.
Bem-vindos a mais episódio de FBS Podcast.
Eu sou o Cássio Pereira.
(00:44):
Muito bem.
Estamos aqui.
Não estamos com time completo porque falta o Marcos que está passeando por aí.
Pessoal, sem mais delongas, vamos direto ao episódio de hoje.
A gente está há muito tempo sem gravar, muito tempo sem vê-los, eu estou com saudade.
Mas vamos falar pouquinho hoje sobre bug bounty.
O que a gente precisa do ponto de vista dos times de segurança e as empresas sepreocuparem ao criar um programa de bug bounty ou ter a ideia de que eu preciso de bug
(01:07):
bounty ou até de fato enxergar a necessidade, precisa ou não de programa de bug bounty,acho isso é importante a gente discutir.
Então antes de falar da verdade do tema, lembrar que o WC Cosmo Podcast tem o suporteda...
Nova 8 e da SNIC, que é a nova 8 da distribuidora da SNIC oficial no Brasil.
Lembrar também da Gold Security, que vai oferecer serviço de Application Security pravocê.
(01:28):
E a Digital Oak, que tem portfólio completo de AppSec pra você também.
E não se esqueça, se está sobre ataque, está investigando algum problema, tem incidentepra resolver, fale com a Purple Bird Security, também vão...
Na verdade, eles vão cuidar dor de cabeça pra você, essa é a grande verdade.
Bom, bem, Uru, o que você acha...
na sua opinião, sua visão, experiência, sabedoria, que é indispensável num programa de BugBounce.
(01:54):
Cara, vamos voltar ao meu programa, decidir o que quero, é indispensável que eu tenha oquê?
que você tenha uma boa visão e estrutura da parte de triage.
Você tem que ter um bom processo definido para receber os findings.
(02:18):
Isso assim que eu acho que é o...
Existem muitas coisas.
Para aquelas pessoas que não sabem que é programa de Bug Bounce, é aquela ideia de euabrir a minha empresa, colocar ela à disposição de pesquisadores de segurança do mundo
todo.
Para que eles se encontrarem vulnerabilidade na minha empresa eu consigo recompensá-lospor essa vulnerabilidade.
(02:41):
Só que eu não tenho o controle do que pode vir.
Eu acho que essa é a principal dor.
Cara, eu não sei quantas vulnerabilidades podem vir, quais vulnerabilidades podem vir.
Meu time técnico pode ser que não tenha todo o conhecimento necessário para entender umavulnerabilidade reportada.
Isso tem uma faca de dois gumes, depois a gente pode...
(03:02):
Muitas vezes reproduzi, reproduzi o que foi reportado aliás, tive muita dificuldade até,tem isso.
Exato, até mesmo entender que isso é realmente uma vulnerabilidade ou não é?
Porque, vamos lá, também tem muitos cãmer aí que eu acho que legal o cara entender, tá?
E agora cuiar e isso piorou milhões de vezes.
(03:23):
Então, você ter o processo para receber a vulnerabilidade é crucial tanto para a saúdemental do time
quanto para a saúde financeira do programa de bug bount da empresa.
exato.
(03:43):
hoje acho que é bom ponto para você tocar também, Cassio.
Como é que funciona a maioria dos programas de bug bount nas empresas?
Funciona assim.
Primeiro que existem dois tipos de programa.
Existe o programa de bug bount e existe o programa de vulnerabilidade de descloujo.
(04:05):
O programa de Bug Bounty é aquele que de fato, porque tem o VDP, Vulnerability DiscoachingProgram, e tem o BBP, Bug Bounty Program.
O VDP ele não paga.
Por exemplo, ali algumas questões do governo americano, eles têm o programa de VDP, vocênão ganha dinheiro, eles não te dão dinheiro e você ganha fama.
(04:34):
Porra, aqui é a cara que conseguia achar vulnerabilidade na NASA.
dar exemplo, né?
Beleza, Exato, exato.
Então, você acaba tendo uma jogada mais ou menos nessa parte, tá?
Aí o bug bount não.
Bug bount é realmente de fato você recebe a grana, né?
E aí, quando você vai montar, pensa seguinte, você vai definir, se o cara achar umacrítica, uma alta, uma média, uma baixa.
(05:02):
o cara vai ganhar dinheiro de acordo com a criticidade do que ele encontrar, o que é, ouque faz todo sentido.
A questão é quem define a criticidade.
Porque se você for deixar toda pessoa que está reportando vulnerabilidade vai dizer que adela é crítica.
Entende?
é verdade.
E eles vão buscar, inclusive, as críticas que pagam mais, certo modo.
(05:24):
exatamente ou eles vão fazer o que?
Vão criar um excelente storytelling para fazer você que está do outro lado triando avulnerabilidade acreditar que eu é crítico.
E antigamente por exemplo quando você pegava uma vulnerabilidade você tinha que escrever orelatório bonitinho explicando porque aquilo é crítico papapá beleza?
(05:50):
O que o pessoal faz agora?
o pessoal já deixa um promptzinho pronto da sua empresa e esse promptzinho prompt da suaempresa depois ele pega a vulnerabilidade que ele encontrou joga no meio desse prompt e
faz aguspir texto muito bonito de como pingar alert 1 na tela é a coisa pior não temdiferença nenhuma entre o alert 1 na tela e você faler a sua empresa entendeu então
(06:21):
a saúde financeira acaba...
perceba que tudo isso faz parte do processo de triagem, que é coisa mais importante.
Bom, então acho que pra gente começar a discutir, que é o que você comentou, ter umprocesso de triagem e aí isso dá pra desenrolar, só pra gente não ficar só nisso, Mas dá
pra desenrolar essa palavra processo de triagem em recrutamento, em equipe, time, porquevocê vai ter ter pessoas pra fazer isso.
(06:43):
Talvez não sejam pessoas exclusivas pra fazer triagem de bug bop, você também não vai...
É aquela história, Depende pouco da empresa que você trabalha.
Você usou exemplo clássico, né?
Se eu trabalho na NASA, a probabilidade de eu ter vulnerabilidade todo dia alta, né,reportada.
Se eu trabalho no Zé Das Coves da esquina, a probabilidade de eu ter uma por ano no meuprograma de bug bounty super atrativo também é baixa.
(07:07):
Então tem um pouco desse, obviamente, feeling de começo, mas aí você vai ajustar com otempo para falar, não, beleza, preciso de uma pessoa dedicada para isso, ou eu vou
distribuir essas tarefas no meu time, ou não sei se faz sentido.
veio na cabeça agora, linkar essa triagem junto com o processo de gestão devulnerabilidade.
(07:28):
Porque acaba sendo uma vulnerabilidade que chega ali externa, que é o você falou, éprocesso de, pera, deixa eu priorizar isso aqui, no fim das contas isso aqui é falso
positivo, ou não é uma crítica, é uma baixa, enfim, então acho que já entra nesse processode vulnerabilidade.
Talvez tenha foco mais específico aplicações, mas acho dá para beneficiar disso.
(07:49):
ao invés de pensar contratar gente, enfim.
Mas o que eu quero ressaltar, que é você falou muito bem, Berm, é essa questão desseprocesso.
Não é só um flow, mas sim pessoas, de repente até políticas e coisas internas que vãofazer sentido pra isso.
Eu, minha visão, acho que não pode faltar num programa de bug bounty é marketing.
(08:11):
Porque a empresa que abre programa de bug bounty, especialmente o externo...
o interno também, Você pode também fazer programa de bug bounty interno.
Mas vamos lá, é importante que as pessoas saibam que o teu programa existe.
Se você é uma empresa big tech, você não precisa muito fazer isso porque é natural quevocê tem, as pessoas te conhecem.
Mas se não é o teu caso, é legal ter marketing cima disso, e aí quando eu digo marketing évender isso de alguma forma, seja anunciar, seja fazer promoção, seja fazer evento,
(08:38):
hackathon, o que quer que seja, pra divulgar o teu programa, mostrar que ele é atrativo,porque acaba sendo um produto, certo modo.
O produto na verdade é a correção.
Você está querendo que cara corrigir os seus problemas em troca de pagar.
Então o produto que está oferecendo é a recompensa de fato.
As pessoas têm que te conhecer, você tem que ser atrativo, aquela coisa toda.
Então acho que esse marketing, especialmente se você não é uma empresa grande conhecida,de atrair os pesquisadores, as pessoas pro teu programa e não pro outro, porque pensa, o
(09:06):
cara do outro lado vai dedicar tempo, as ferramentas, investir, enfim.
Por que ele vai escolher você e não vai fazer o programa de bug bounce da Microsoft, daApple, do Google, que pagam umas fortunas que são, de repente, mais atrativos?
Obviamente, naturalmente também são mais competitivos, né?
Tem outras pessoas também participando e tal.
(09:27):
Então, acho que essa questão do marketing seria também algo importantíssimo.
Mas talvez a segunda pergunta, e conectando com essa, o que você acha, Benyur, desseprograma de bug bounce que a gente está pensando montar e olhar para o nosso cenário?
Eu quero montar programa de bug bounce na minha empresa.
Como é que eu sei que eu preciso de programa de bug bounty?
(09:47):
Eu pergunto isso porque a empresa que eu estou hoje, o nosso CISO, empresa americana, eletem uma mentalidade do tipo, se eu não faço mais, eu faço penteste, pessoal faz penteste
uma vez por ano, aqueles penteste super caro e tal, beleza.
Mas a cabeça dele é assim, se eu troco...
(10:08):
troco o pen test por bug bount, eu tenho um pen test contínuo ao longo do ano, ao invés defazer uma vez só.
A mesma verba que eu gasto num pen test, eu vou distribuir num programa de bug bount,então não tenho mais uma, duas empresas olhando para as minhas aplicações, eu tenho
diversas pessoas olhando para minha aplicação.
E é bunch muito mais...
(10:29):
É como se eu escalasse, sabe?
Pô, eu vou escalar o meu pen test.
O que você acha?
Bem, esse é assunto muito polêmico, eu adoro ele.
Vamos lá.
Primeiro de tudo, questão ali do...
Eu não acho que deveria trocar, eu acho que o pendest pelo bugbounce, mas tem algumascaracterísticas.
(10:55):
Eu acho que a característica que mais impede hoje de a gente querer trocar...
é porque a gente não consegue garantir a participatividade.
Por exemplo assim, muitos pentestes são regulatórios.
Então você precisa pegar uma empresa de penteste, precisa emitir lá o atestado de saúde dasua empresa, então ela precisa emitir o atestado ali e te enviar para que você possa
(11:26):
passar numa regulação.
Então eu acho que isso não vai sumir tão cedo.
Então acaba tendo essa questão.
Mas agora vamos não vamos pegar pro...
o penteste, a avaliação de segurança seja ela por penteste, por terceiros, enfim, Entãovamos pegar com o modo checkbox que é o A, tem o regulatório, bom, vamos pegar.
Então estamos nos preocupando com a segurança da empresa e eu quero fazer as coisas, tá?
(11:50):
O que acaba acontecendo?
Se eu pego a minha empresa e colocá-la num programa de bug bounty, o que que eu espero?
Eu espero que pessoas do mundo todo, que que eu desejo que eu quero?
Eu quero que os melhores pesquisadores do mundo parem as suas atividades atuais ou parem,por exemplo, de pesquisar a vulnerabilidade na época, pode pagar milhão de dólares por
(12:11):
vulnerabilidade lá se tu encontrar, para olharem para a minha empresa e atacarem a minhaempresa.
É isso que eu quero ao final.
Eu quero que eles testem tudo porque todo mundo quer encontrar vulnerabilidade em tudo e éisso que eles vão fazer.
E aí eu posso ter o mundo inteiro cima disso.
Então sem dúvida nenhuma que você comentou no começo de fazer o marketing, porque programade Bug Bounce pensa num programa de TV, né, mano?
(12:38):
pensa naqueles...
Exato, pensa naquele programa de TV que todo mundo pode ligar e pode ganhar prêmios.
Então...
Então assim...
Você precisa atrair as pessoas para isso, tá?
Então quando as pessoas chegam...
Penteche só um adendo, o Penteche não atrai ninguém, Você faz o contrato, paga e vai serexecutado.
(13:01):
Você define escopo e vai ser executado, ponto.
Só que aí tem estratégias que podem te ajudar a você melhorar o seu bug bount com relaçãoao penteste.
Por exemplo assim, cara, eu não vou garantir que ninguém...
Como é que eu garanto que alguém vai testar o fluxo de pagamento de cartão de crédito?
Simples?
Garantir você nunca vai garantir, porque você não tem controle de ninguém.
Da mesma forma que você contrata penteste externo, você não vai ficar olhando a tela docomputador do cara que está realizando o teu penteste para ver se o cara testou aquilo ou
(13:28):
não, tá?
simplesmente emitir relatório falando, não achei nada.
Exato, nunca vai ter controle sobre isso, entendeu?
só que o você faz?
Você pode fazer uma questão de bônus específico por funcionalidade.
Por exemplo, se você encontrar uma vulnerabilidade que no fluxo de cartões que tenha estesimpactos, a gente vai te pagar o dobro do valor na vulnerabilidade.
(13:54):
Vou dar exemplo, quando eu trabalhava na outra empresa lá cuidando da parte criptomoeda,
Cara, bem difícil, porque eu fazia gestão de bug bount lá, da minha área, ali, toda avulnerabilidade criptomoeda pagava três vezes mais.
Entende?
Então, porque a do produtor era muito crítico, muito crítico, tá?
(14:19):
Logo, o que aconteceu?
A gente acabava tendo...
Cara, é big tech, Então, mesma coisa, é mais fácil ter isso.
Só que as pessoas logo para a cara estava muito bem na área de segurança então as pessoasnão testavam tanto a área de cripto porque a gente era meio blindado né porque tinha muito
investimento de segurança naquela área.
(14:40):
Era desproporcional então a gente tinha uma pessoa de segurança para cada três quadrosdesenvolvedores é muito diferente.
Era desproporcional.
Não é, é, se era exceção nesse mundo, não era a regra.
há exceção, deceção, deceção, deceção, deceção, né?
Mas assim, quando a gente quer substituir o Pentest a gente tem que lembrar de uma coisa.
(15:04):
Nós não estamos simplesmente reduzindo o dinheiro investido no Pentest.
o dinheiro desse bobeiro até mesmo ou mais.
Exatamente, o que a gente está tentando fazer é ampliar a quantidade de pessoasprofissionais e scanners, porque todo mundo vai rodar suas ferramentas, nosso ambiente.
(15:26):
Isso que a gente quer.
A gente quer ter o resultado por dólar gasto melhor.
Não significa que a quantidade de dólar gasto vai ser menor.
Por quê?
Primeiro, o profissional nosso, que eu podia contratar um profissional de teste interno,cara, eu vou dedicar no profissional que vai criar o programa de Bug Bounce.
(15:49):
e fazer a gestão dele.
Exatamente.
Então, para fazer a triage, pensa, se eu quero muitos profissionais, uma das coisas que dásaúde ao programa do Bug Bounty é o excelente processo de triagem das vulnerabilidades.
Por quê?
Exato.
Porque se o hunter vem, encontra uma vulnerabilidade, você passa 40 dias sem triagem, essecara não volta mais ao seu programa.
(16:15):
Entendeu?
ele seja pago por isso, realmente era problema, foi pago, eu quero falar, não vou dedicartempo aqui porque eu demoro mais de mês para receber um video back, não vou fazer.
Exatamente, vai fazer o quê?
Cara, lembra que o Bug Bound, você está na vitrina e com muitas outras empresas de BugBound.
O programa de Bug Bound é, em sua essência, ser o alvo mais atrativo.
(16:43):
Entende?
literalmente, botar o alvo nas costas e andando por aí, lá e me ataque, né?
Literalmente é isso.
aí, é isso aí.
Então você tem que dar atenção.
E dar atenção a pesquisador de segurança é se comunicar com ele, é fazer a triagem corretada vulnerabilidade.
(17:04):
Se o cara falar essa vulnerabilidade é crítica e você falar é média, você tem que dialogarbem o porquê média com ele.
E aí você tá falando de cara que às vezes tem 15 anos de segurança trabalhando contra carade 2, 3 anos dentro da sua empresa que não sabe ter diálogo com esse tipo de cara.
(17:24):
Então você tem que ter cara bom trabalhando com isso, porque é daí que vai sair odinheiro.
Porque às vezes tem cara maldoso do outro lado, todo lugar, tem cara maldoso, que o cara éuma média e ele escalou pra alta no texto.
E o cara de dentro caiu.
Entendeu?
E até pegando gancho nesse caso aí, tirando a parte dos scammers, A conversa, vamos partirdo princípio que, tu é o pesquisador, eu sou a empresa.
(17:50):
Tu falou que é crítica.
É óbvio que, do ponto de vista do pesquisador, é quase que ele sempre vai puxar opassadinho pro lado dele, Pô, achei problema grave.
Talvez não só pelo fato do bônus ser maior, mas também pelo fato de, achei problema desegurança.
Naturalmente, é problema segurança, né?
É um problema, né?
Mas a empresa vai falar, espera, cara, isso aqui na verdade é SQL Injection perfeito, táaqui, mas cara, é uma base que não tem dado sensível.
(18:16):
Você extraiu dados, beleza, mas assim, não tem dado sensível nenhum.
Pra mim é negócio transacional.
assim, tem impacto, é problema, mas não é crítico.
o exato impacto ele não é crítico exato.
seja tecnicamente, mas o impacto não é crítico.
Então, essa conversa naturalmente já é difícil, tirando do contexto de Bug Bounty.
(18:37):
Pensa, é APSEC e desenvolvedor conversando.
O desenvolvedor...
Não, isso não é crítico.
Cara, é crítico.
Então, já é uma conversa difícil, vamos dizer assim.
Então, essa...
Você falou muito bem, essa maturidade interna da empresa...
E aí eu vou falar do time de APSEC, Para lidar, voltando no programa de triagem...
nessa troca com o pescador, isso se torna negócio mais crítico do que até qualquer outrotema que a puder discutir sobre o tópico.
(19:03):
Por exemplo, que plataforma eu deveria usar?
É a Hacker One?
É a Bug Crowd?
É o Gira Público?
É a porra da Planiliexcel?
Foda-se.
Na prática, foda-se.
É o de menos.
Talvez as plataformas não te dê fitos a mais ou a menos, cobra taxa mais ou menos dopagamento, e cada coisa toda.
é uma discussão válida, mas...
(19:25):
não tão crítica, diria, quanto a maturidade da própria empresa.
Mas aí voltando ao pé inicial, Benhur, como é que eu sei que eu preciso disso?
Eu estou falando, trocar a Pentest por Bug Bounce talvez, você falou, tem uma questãoregulatória, o Pentest, certo modo, na minha visão, ele ainda tem um foco muito profundo,
(19:48):
o Pentest tende, muitas vezes tende a ser caixa cinza.
até caixa branca, se dá zoar, aquela coisa toda.
Enquanto que o Bugbao diria quase 100 % caixa preta.
É o canal O Pokeball de Cocha Preta.
A menos que tu tenha alguma ferramenta Open Source que você vai colocar no jogo.
(20:08):
Exato, Smart Contracts que são públicos.
Por exemplo, alguns softwares eles tem versão Open Source.
Tipo o Bitwarden, exemplo, que tem o Open Source.
Uhum.
Mas eu acho que o Bugma...
Não, Bugma, não, desculpa, o Pentest, ele vai ter sempre essa...
Eu não vou dizer vantagem, mas...
Sabe o plus a mais, O pleonasmo, né?
(20:30):
Aquele plus a mais.
Ele pode perguntar, ele tem uma geração diferente, né?
É que daí eu tenho uma visão meio polêmica, tipo assim, cara, eu acho que não deveria sercontratado Pentest e Black Box, Eu acho que Pentest, deveria...
O que tu quer?
Tu quer que o cara...
Claro, tem alguns pontos, Pentest, eu acho que tu deveria priorizar redução de risco.
(20:55):
O cara encontrar problema e tu reduzir o risco.
só que ao mesmo tempo tem que dar acesso ao código fonte para alguém que é externo.
Então tem que fazer o trade-off do que que de fato você pode fazer.
Mas esse acho que é outro assunto.
Só uma pincelada nisso.
Por isso que acho que os dois se complementam muito bem.
Uma coisa é uma coisa, outra coisa é outra coisa.
(21:16):
Porque o Bug Bounty, em teoria, vai simular literalmente o atacante.
Ele não tem acesso a nenhum, ele tem o seu domínio ali e vai separar.
O Pentest não.
Você entrega mais coisas pra ele.
Porque você quer de fato que ele, vou dizer, entre aspas, você quer que ele chegue noTarget?
pra você mitigar os riscos e dificultar o caminho que ele chegou ali.
O bug bounty não, cara.
(21:36):
O bug é você estar dando dinheiro, né, também, pro cara te atacar.
Então você parte da premissa que você tá super protegido.
Então você vai falir, hein?
Precisa de pagar bounty, né?
Não faz sentido também, entendeu?
Então tem que ter o seu tipo maturidade, né?
Faz todo sentido, tá?
Porque assim, quando que a empresa precisa do bug bount?
Então, Tá, vamos lá.
Eu gostei de começar essa conversa pela porta do lado das casas.
(22:03):
Então, que é seguinte assim, ó.
você tem que ter nível de maturidade interessante para poder iniciar programa de bugbounty.
Por que eu acredito nisso?
Não estou dizendo que você tem que ter feito vários pen testes.
o que é agora é agora imagina que você tem programa de bug bounty e você coloca ele no are começa a receber vulnerabilidades assim.
(22:31):
Cara não acredito que tem isso aqui dentro da empresa.
alert na tela de login, ali?
Aí não dá, né?
Aquele JavaScript sendo passada como parâmetro da ORL, sabe?
agora, porque o que vai acontecer?
Tu vai receber essas vulnerabilidades?
Só que o problema de você receber essas vulnerabilidades são dois.
(22:53):
O primeiro pode ser que a empresa não tenha uma cultura de desenvolvimento seguro aindaestabilizada.
E isso significa que você tem algumas torneiras abertas, alguns ferimentos.
ainda sangrando dentro de casa.
Então a sua empresa, se ela continua evoluindo, ela continua nascendo com esse déficit dematuridade em segurança no desenvolvimento.
(23:21):
E aí, pra complementar isso você tá falando, aí o teu programa de bug bounty vai virarum...
Cara, fugiu a palavra agora.
Mas é como se fosse aquele...
Sabe, você tem que pagar a conta de água, a conta de luz, vira uma despesa, porque você tácriando problema idiota que os caras vão continuar achando porque é super idiota e você tá
jogando aquele dinheiro no ralo.
Vira uma despesa o negócio.
(23:42):
Exatamente.
Então assim, uma das coisas que eu gosto de usar o programa de Bug Pound, é primeiro detudo com certeza para escalar.
Eu tenho muitas pessoas testando tudo dentro da minha empresa.
Acho que a escala eu acho excelente, mas também gosto de usar ele para validar o nível dematuridade do que a gente tem.
(24:02):
Então vou te dar exemplo assim, cara.
Como é que está a nossa de fato, o nosso conhecimento,
materialização da segurança no desenvolvimento das aplicações.
Entende?
Que tipo de vulnerabilidade eu tenho por aí?
Porque vamos lá.
Eu não posso como SISO ou como diretor de empresa abrir programa de bug bounty.
(24:23):
Aí vem monte de vulnerabilidade.
Eu vou para o meu time de AppSec e cago na cabeça deles.
Porque veio monte de vulnerabilidade.
Porque às vezes, porque às vezes o time de AppSec é 2, 3 pessoas e tem 500 desenvolvedoreslá dentro.
Então o que você está fazendo?
hoje.
Nós somos em quatro e temos mais de mil desenvolvedores.
(24:44):
Então, assim, vocês estão com a escala de 1 para 300.
Então, a escala de 1 para 300, o bug Bounty, ele ganha outra perspectiva.
Ele ganha perspectiva de, nós não temos mão, braço aqui dentro para escalar uma avaliaçãointeira.
(25:06):
Só que eu prefiro, uma coisa que eu acho legal nesse caso é, primeiro vamos definir budgetcontrolado.
para fazer uma avaliação inteira.
Aí definiu o budget, que que tu vai fazer, ou tu vai pegar pen test, ou tu vai colocarautomações nos lugares que você precisa, você vai ter feito uma varredura para encontrar
essas coisas.
E agora é o seguinte, cara, eu quero escalar os nossos testes para que a gente tenhapessoas do nosso lado, sejam internas ou externas, nos ajudando a encontrar
(25:37):
vulnerabilidades aonde nós, da equipe de EPSEC, não conseguimos chegar hoje.
Quando você...
vale destacar ainda o seguinte, esse budget
Quero colocar isso de uma forma que não pareça estranha, mas por exemplo, esse budget vemde algum lugar, Ele tem valor, é quanto?
(26:02):
Às vezes o cara não vai conseguir mensurar isso.
Ah, é milhão, é 500 mil, eu não sei, porque é algo novo.
Olhar pro bookbounce da minha empresa que gente tá montando é algo novo.
Então cara não sabe quanto vai custar aquilo.
Entende?
Eu posso falar, beleza, vou gastar mil dólares nesse budget, nesse programa.
Beleza, mil dólares pode ser uma, vou dar uma belata pro cara show.
(26:22):
E aí você já esgotou seu bunch, já fechou o seu programa.
Então esse quanto pode ser dificuador.
É, e ninguém vai voltar lá.
Então esse quanto também eu diria que ele é crítico do ponto de vista e é executivo desaber quanto.
E talvez uma métrica seja o quanto você já gasta hoje em pen test, quando você já investee tudo mais.
(26:43):
Porque tem empresa que tem orçamento milionário para cyber e outras que zero.
Então tem isso também.
Exato, aí é bom ponto, tá?
Porque uma das estratégias que você pode fazer é tipo, lançar programa privado, né?
Que aí não é todo mundo do mundo que vai chegar ali, então tipo assim, o que você podefazer?
Você pode lançar programa privado e esse programa privado você pode assinar budget praesse programa privado.
(27:06):
Sei lá, 50 mil dólares, não é barato, tá?
Vamos lá, 50 mil dólares.
E aí você entrega assim, vulnerabilidades, baixa a gente vai pagar 50 dólares, média agente vai pagar 250 dólares.
alta a gente vai pagar 600 dólares crítica a vai pagar 1500 dólares.
Vou dar exemplo.
entra features de plataformas que vão te ajudar.
(27:28):
Por exemplo, é programa privado, mas eu quero que a plataforma, sei hacker one da vida,distribua isso só para quem está bem posicionado nos rankings mundiais, ou só do Brasil,
ou só não sei o Então tem até isso, porque você pode selecionar quem pode participar doteu programa nesse contexto.
Exatamente, porque assim, todo mundo quer pão fresco.
(27:52):
Boa analogia.
Quem tira...
Então todo mundo quer.
isso ajuda.
Aí você fala o seguinte, olha pessoal, nós vamos ter o processo.
Aí é bom descrever o processo, né?
Nós vamos estar abrindo esse programa do dia X ao dia Y, tá?
(28:15):
Todas as vulnerabilidades nós vamos fazer a triage e pagamento desse dia para esse dia.
Entendeu?
Nós vamos ter período de contestação.
Que é contestação?
Poxa, tu falou que é crítico, eu tô dizendo na minha empresa que é médio.
Nós vamos ter período de contestação, né?
E aí vai ser pago, vai ser descrito, as pessoas vão ser pagos tudo aqui.
(28:37):
Beleza, o que acontece se for duplicada a vulnerabilidade?
Mais de uma pessoa encontrar essa vulnerabilidade.
o primeiro que encontrou vai ganhar 50 % ou 60 % daquela vulnerabilidade, os outros vão...
dividir os outros 40 % entre eles ou não, às o primeiro que encontrou vai ganhar 70, 80 ouàs vezes não, o primeiro que encontrou vai ganhar tudo e o restante vai ganhar como
(29:00):
duplicado e não vai ganhar nada você define isso, só que uma vez que você definiu isso aívocê tem que fazer o AlarG, Tem que deixar a HackerOne levar isso para as pessoas internas
e sem dúvida nenhuma com esse tempo conseguiria isso, qual que é o objetivo?
Eu vejo o Bug Bounce nesse momento quando tu fala assim, ó cara
(29:21):
Não tem mais braço aqui internamente.
Eu preciso validar minha empresa, né?
Para contratar pentest para minha empresa como todo, vai me custar dinheiro enorme.
Exato, custar uma fortuna, exatamente.
Então eu quero fazer teste de bug bounte aberto, assim, para o pessoal ali dentro, com oobjetivo de escalar.
(29:45):
Por que é importante a falar isso aqui?
São de teste e tal, etc.
É porque, é realmente o modelo de você abrir um negócio e vender ele.
Porque não é garantido que você vai ter pessoas testando.
Não é garantido.
Por mais que você queira, não é.
(30:05):
é engraçado esse olhar desse ponto de vista, porque até bug bounte interno, eu jáparticipei de coordeneio, mas eu trabalhei empresas que tinham bug bounte interno, que a
aderência era muito baixa.
Internamente as pessoas não queriam participar, não queriam dedicar tempo naquilo, naverdade o bounte não era grana, mas a empresa, sei lá, exemplo, tá?
(30:29):
para não ficar tão óbvio que empresa que era.
Imagina você trabalha na Lamborghini.
Então o Bounty era, cara, você achou problema, você vai ganhar, vai no parque daLamborghini, vai ganhar um carro, sabe?
Então o Bounty era os produtos da empresa que eram produtos muito caros, coisas caras que,principalmente, todo mundo quer ter.
(30:50):
Então era atrativo, muito.
Mas a adesão da parada internamente era muito baixa.
Tinha promoção...
1%, é 1 a 2 % adesão.
tinha marketing interessante, assim, cara, parece que o negócio não andava.
E a gente que era o time de segurança, a gente tinha, pelo menos na época, tinha ummapeamento de muita vulnerabilidade, tinha uma certa maturidade lá, mas assim, não sei,
(31:16):
até hoje eu não sei porque que a parada não andava.
Eu era de sec, mas não era de upssec, enfim, mas eu conversava com a galera e tal, esseera o contexto que gente tinha.
Então, eu acho que o que a gente está olhando aqui, tentando ajudar a galera que estáouvindo é...
Tentar não cometer alguns erros e saber mais ou menos qual o caminho trilhar para montar oteu programa de AppSec.
Aí uma próxima pergunta, Benhor, o que você acha?
(31:37):
Faz sentido montar sem usar uma plataforma?
Tipo, falar, não, vou fazer por conta aqui e tal.
O que você acha?
não acho, eu não acho, tá?
Eu não acho porque o custo para você montar ele do zero separado, eu acho que ele acabasendo maior do que você contratar a plataforma.
(32:01):
Você paga FIZINHA ali e já era, Em teoria,
cara, acho assim, porque daí você já tem a plataforma conhecida.
Por exemplo, você vai montar lá programa privado, Cara, você conhece os melhores hackerspra convidar eles assim?
Entendeu?
Então tipo assim, e a outra questão é, e eles vão acreditar que de fato...
(32:25):
né, tá fazendo negócio certo e tal, entende?
Porque vamos lá, do tanto do lado da empresa, ela quer dar credibilidade, mas o outrolado, ele tá disputando com o tempo das outras pessoas, entende?
Então eu vou parar para olhar para a sua empresa, eu vou olhar para a outra do lado alique já tá tudo dentro da plataforma que eu uso.
(32:52):
da consolidada e tal, etc.
Então, cara, hoje eu não arriscaria fazer um programa na mão.
Eu não.
Eu não, eu não.
Dá pra fazer?
Cara, dá pra fazer.
Só que daqui a pouquinho, Tipo assim, a vai fazer a triagem como?
(33:15):
Vai ser por e-mail?
Cara, inferno.
Entendeu?
loucura, loucura.
vai é vai abrir ticket no gira vai abrir sabe cara não acho que tipo e se tiver desacordose gerar desacordo eterno entendeu tipo lá lá na hacker one tem que chamar de moderação
(33:36):
entendeu então a própria plataforma ajuda a moderar os esquemas sabe então
pessoas que já foram banidas, por exemplo, não vai vir pro teu programa.
De alguma forma o cara foi banido.
Sei lá, coisas do tipo.
Exatamente, Então, cara, eu não arriscaria hoje.
Eu prefiro fazer, a plataforma e eu me focar no programa em si.
(33:58):
Até uma...
Pra gente encerrar, Porque o tempo é dinheiro.
Até item pra gente voltar no próximo episódio com convidado que gente programou de fazerepisódio também pra falar e aí do ponto de vista do pesquisador, né?
Mas até item específico que talvez passe desapercebido é a legal, a questão decontabilidade, contábil mesmo.
(34:20):
Eu tô tirando dinheiro pra pagar a pessoa física?
porque o pesquisador é uma pessoa física natural, ele não vai te emitir uma nota porqueachou a vulnerabilidade na sua empresa, é...
no outro lugar do mundo.
Então, até essa questão contábil legal, a plataforma vai...
porque o seu dinheiro está indo para a plataforma, aí ele vai tirar ali a porcentagemdele, imagina, e ele vai pagar o pesquisador e tal.
(34:41):
Então, tem uma questão contábil, contábil legal, que você não quer ter essa dor de cabeça.
Você tinha que pagar um ou...
mil bounts no mês, cara.
Imagina a contabilidade disso.
Você está pagando pessoa física e tal.
Não, então assim, não rola o controle de...
Não, não, não, não, não.
Aí você fala ao pesquisador, então, como você é fornecedor, é 90 dias para eu te pagar.
(35:04):
Que é que acontece, né?
Aí o cara fala, não, não, não, obrigado, Devolve minha vulnerabilidade aí.
você paga a hacker one por exemplo você paga buggy crown você paga a plataforma e aplataforma paga entendeu então mas em resumo assim dois casos que eu vejo quando você
precisa do programa de bug bount primeiro você já tem uma maturidade bem grande você querexpandir isso eu quero trazer skills novas
(35:29):
como é que eu meço essa vulnerabilidade, essa maturidade?
O aspisan resolve?
O que você acha?
Para eu saber, beleza, estou maduro.
aspisanzinho ajuda, né?
ajuda bastante.
Quando você começa, quando você entende que você já está velocidade de cruzeiro com todasas práticas que você definiu.
(35:52):
O programa de Bug Bound ajuda você expandir isso e você ganhar aquela escalabilidade.
E a outra questão é você agregar
ações que você não tem hoje como chegar lá.
Por exemplo, cara, não consigo pegar pentester e contratar pentester para pegar minhaempresa inteira.
(36:14):
Cara, eu não consigo ter tempo sobrando para conseguir olhar cada produto meu ou novo quesaia, atualização que saia, porque vamos lá, tempo do seu time você sempre vai consumir.
Para fazer gestão do programa.
(36:35):
Então, dependendo do tamanho do seu programa, tem que ter cara que vai entender disso,profissional que vai entender disso.
Ele não é algo que você coloque e é plug and play.
Não é.
Então.
nesse lugar nenhum, cara.
Isso é prática, é experiência, não tem como.
(36:56):
Exatamente exatamente.
aí por exemplo como é que agora é outra questão como que eu monto a definição no meuprograma de bug mount.
Uma vez que eu tomei a decisão de montar.
Tem o próximo episódio.
Boa.
Bem-vindos, obrigado.
que boa volta depois de três, quatro, mês que gente está sem gravar, na verdade.
(37:21):
Mas, cara, esse tópico é muito foda.
fazer curso disso.
Como montar programa de Bugnaut.
Boa.
Tá fazendo workshop material disso, que é bem bacana.
Bom, pessoal, nos vemos na próxima semana.
Eu sou o Caso Pereira.
Eu sou Ben Hur.
Nem teve vinheta hoje, vamos direto pro encerramento.
Valeu pessoal, tchau tchau.
beirás.
Eu ganhei violão de adversário que eu quero aprender a Nunca toquei instrumento nenhum.
Você fez o sinalzinho e eu lembrei que preciso praticar hoje.
Todo dia eu faço alguma coisa ali para desenrolar.
Boa, boa.
Bem-vindos a mais episódio de FBS Podcast.
Eu sou o Cássio Pereira.
(00:44):
Muito bem.
Estamos aqui.
Não estamos com time completo porque falta o Marcos que está passeando por aí.
Pessoal, sem mais delongas, vamos direto ao episódio de hoje.
A gente está há muito tempo sem gravar, muito tempo sem vê-los, eu estou com saudade.
Mas vamos falar pouquinho hoje sobre bug bounty.
O que a gente precisa do ponto de vista dos times de segurança e as empresas sepreocuparem ao criar um programa de bug bounty ou ter a ideia de que eu preciso de bug
(01:07):
bounty ou até de fato enxergar a necessidade, precisa ou não de programa de bug bounty,acho isso é importante a gente discutir.
Então antes de falar da verdade do tema, lembrar que o WC Cosmo Podcast tem o suporteda...
Nova 8 e da SNIC, que é a nova 8 da distribuidora da SNIC oficial no Brasil.
Lembrar também da Gold Security, que vai oferecer serviço de Application Security pravocê.
(01:28):
E a Digital Oak, que tem portfólio completo de AppSec pra você também.
E não se esqueça, se está sobre ataque, está investigando algum problema, tem incidentepra resolver, fale com a Purple Bird Security, também vão...
Na verdade, eles vão cuidar dor de cabeça pra você, essa é a grande verdade.
Bom, bem, Uru, o que você acha...
na sua opinião, sua visão, experiência, sabedoria, que é indispensável num programa de BugBounce.
(01:54):
Cara, vamos voltar ao meu programa, decidir o que quero, é indispensável que eu tenha oquê?
que você tenha uma boa visão e estrutura da parte de triage.
Você tem que ter um bom processo definido para receber os findings.
(02:18):
Isso assim que eu acho que é o...
Existem muitas coisas.
Para aquelas pessoas que não sabem que é programa de Bug Bounce, é aquela ideia de euabrir a minha empresa, colocar ela à disposição de pesquisadores de segurança do mundo
todo.
Para que eles se encontrarem vulnerabilidade na minha empresa eu consigo recompensá-lospor essa vulnerabilidade.
(02:41):
Só que eu não tenho o controle do que pode vir.
Eu acho que essa é a principal dor.
Cara, eu não sei quantas vulnerabilidades podem vir, quais vulnerabilidades podem vir.
Meu time técnico pode ser que não tenha todo o conhecimento necessário para entender umavulnerabilidade reportada.
Isso tem uma faca de dois gumes, depois a gente pode...
(03:02):
Muitas vezes reproduzi, reproduzi o que foi reportado aliás, tive muita dificuldade até,tem isso.
Exato, até mesmo entender que isso é realmente uma vulnerabilidade ou não é?
Porque, vamos lá, também tem muitos cãmer aí que eu acho que legal o cara entender, tá?
E agora cuiar e isso piorou milhões de vezes.
(03:23):
Então, você ter o processo para receber a vulnerabilidade é crucial tanto para a saúdemental do time
quanto para a saúde financeira do programa de bug bount da empresa.
exato.
(03:43):
hoje acho que é bom ponto para você tocar também, Cassio.
Como é que funciona a maioria dos programas de bug bount nas empresas?
Funciona assim.
Primeiro que existem dois tipos de programa.
Existe o programa de bug bount e existe o programa de vulnerabilidade de descloujo.
(04:05):
O programa de Bug Bounty é aquele que de fato, porque tem o VDP, Vulnerability DiscoachingProgram, e tem o BBP, Bug Bounty Program.
O VDP ele não paga.
Por exemplo, ali algumas questões do governo americano, eles têm o programa de VDP, vocênão ganha dinheiro, eles não te dão dinheiro e você ganha fama.
(04:34):
Porra, aqui é a cara que conseguia achar vulnerabilidade na NASA.
dar exemplo, né?
Beleza, Exato, exato.
Então, você acaba tendo uma jogada mais ou menos nessa parte, tá?
Aí o bug bount não.
Bug bount é realmente de fato você recebe a grana, né?
E aí, quando você vai montar, pensa seguinte, você vai definir, se o cara achar umacrítica, uma alta, uma média, uma baixa.
(05:02):
o cara vai ganhar dinheiro de acordo com a criticidade do que ele encontrar, o que é, ouque faz todo sentido.
A questão é quem define a criticidade.
Porque se você for deixar toda pessoa que está reportando vulnerabilidade vai dizer que adela é crítica.
Entende?
é verdade.
E eles vão buscar, inclusive, as críticas que pagam mais, certo modo.
(05:24):
exatamente ou eles vão fazer o que?
Vão criar um excelente storytelling para fazer você que está do outro lado triando avulnerabilidade acreditar que eu é crítico.
E antigamente por exemplo quando você pegava uma vulnerabilidade você tinha que escrever orelatório bonitinho explicando porque aquilo é crítico papapá beleza?
(05:50):
O que o pessoal faz agora?
o pessoal já deixa um promptzinho pronto da sua empresa e esse promptzinho prompt da suaempresa depois ele pega a vulnerabilidade que ele encontrou joga no meio desse prompt e
faz aguspir texto muito bonito de como pingar alert 1 na tela é a coisa pior não temdiferença nenhuma entre o alert 1 na tela e você faler a sua empresa entendeu então
(06:21):
a saúde financeira acaba...
perceba que tudo isso faz parte do processo de triagem, que é coisa mais importante.
Bom, então acho que pra gente começar a discutir, que é o que você comentou, ter umprocesso de triagem e aí isso dá pra desenrolar, só pra gente não ficar só nisso, Mas dá
pra desenrolar essa palavra processo de triagem em recrutamento, em equipe, time, porquevocê vai ter ter pessoas pra fazer isso.
(06:43):
Talvez não sejam pessoas exclusivas pra fazer triagem de bug bop, você também não vai...
É aquela história, Depende pouco da empresa que você trabalha.
Você usou exemplo clássico, né?
Se eu trabalho na NASA, a probabilidade de eu ter vulnerabilidade todo dia alta, né,reportada.
Se eu trabalho no Zé Das Coves da esquina, a probabilidade de eu ter uma por ano no meuprograma de bug bounty super atrativo também é baixa.
(07:07):
Então tem um pouco desse, obviamente, feeling de começo, mas aí você vai ajustar com otempo para falar, não, beleza, preciso de uma pessoa dedicada para isso, ou eu vou
distribuir essas tarefas no meu time, ou não sei se faz sentido.
veio na cabeça agora, linkar essa triagem junto com o processo de gestão devulnerabilidade.
(07:28):
Porque acaba sendo uma vulnerabilidade que chega ali externa, que é o você falou, éprocesso de, pera, deixa eu priorizar isso aqui, no fim das contas isso aqui é falso
positivo, ou não é uma crítica, é uma baixa, enfim, então acho que já entra nesse processode vulnerabilidade.
Talvez tenha foco mais específico aplicações, mas acho dá para beneficiar disso.
(07:49):
ao invés de pensar contratar gente, enfim.
Mas o que eu quero ressaltar, que é você falou muito bem, Berm, é essa questão desseprocesso.
Não é só um flow, mas sim pessoas, de repente até políticas e coisas internas que vãofazer sentido pra isso.
Eu, minha visão, acho que não pode faltar num programa de bug bounty é marketing.
(08:11):
Porque a empresa que abre programa de bug bounty, especialmente o externo...
o interno também, Você pode também fazer programa de bug bounty interno.
Mas vamos lá, é importante que as pessoas saibam que o teu programa existe.
Se você é uma empresa big tech, você não precisa muito fazer isso porque é natural quevocê tem, as pessoas te conhecem.
Mas se não é o teu caso, é legal ter marketing cima disso, e aí quando eu digo marketing évender isso de alguma forma, seja anunciar, seja fazer promoção, seja fazer evento,
(08:38):
hackathon, o que quer que seja, pra divulgar o teu programa, mostrar que ele é atrativo,porque acaba sendo um produto, certo modo.
O produto na verdade é a correção.
Você está querendo que cara corrigir os seus problemas em troca de pagar.
Então o produto que está oferecendo é a recompensa de fato.
As pessoas têm que te conhecer, você tem que ser atrativo, aquela coisa toda.
Então acho que esse marketing, especialmente se você não é uma empresa grande conhecida,de atrair os pesquisadores, as pessoas pro teu programa e não pro outro, porque pensa, o
(09:06):
cara do outro lado vai dedicar tempo, as ferramentas, investir, enfim.
Por que ele vai escolher você e não vai fazer o programa de bug bounce da Microsoft, daApple, do Google, que pagam umas fortunas que são, de repente, mais atrativos?
Obviamente, naturalmente também são mais competitivos, né?
Tem outras pessoas também participando e tal.
(09:27):
Então, acho que essa questão do marketing seria também algo importantíssimo.
Mas talvez a segunda pergunta, e conectando com essa, o que você acha, Benyur, desseprograma de bug bounce que a gente está pensando montar e olhar para o nosso cenário?
Eu quero montar programa de bug bounce na minha empresa.
Como é que eu sei que eu preciso de programa de bug bounty?
(09:47):
Eu pergunto isso porque a empresa que eu estou hoje, o nosso CISO, empresa americana, eletem uma mentalidade do tipo, se eu não faço mais, eu faço penteste, pessoal faz penteste
uma vez por ano, aqueles penteste super caro e tal, beleza.
Mas a cabeça dele é assim, se eu troco...
(10:08):
troco o pen test por bug bount, eu tenho um pen test contínuo ao longo do ano, ao invés defazer uma vez só.
A mesma verba que eu gasto num pen test, eu vou distribuir num programa de bug bount,então não tenho mais uma, duas empresas olhando para as minhas aplicações, eu tenho
diversas pessoas olhando para minha aplicação.
E é bunch muito mais...
(10:29):
É como se eu escalasse, sabe?
Pô, eu vou escalar o meu pen test.
O que você acha?
Bem, esse é assunto muito polêmico, eu adoro ele.
Vamos lá.
Primeiro de tudo, questão ali do...
Eu não acho que deveria trocar, eu acho que o pendest pelo bugbounce, mas tem algumascaracterísticas.
(10:55):
Eu acho que a característica que mais impede hoje de a gente querer trocar...
é porque a gente não consegue garantir a participatividade.
Por exemplo assim, muitos pentestes são regulatórios.
Então você precisa pegar uma empresa de penteste, precisa emitir lá o atestado de saúde dasua empresa, então ela precisa emitir o atestado ali e te enviar para que você possa
(11:26):
passar numa regulação.
Então eu acho que isso não vai sumir tão cedo.
Então acaba tendo essa questão.
Mas agora vamos não vamos pegar pro...
o penteste, a avaliação de segurança seja ela por penteste, por terceiros, enfim, Entãovamos pegar com o modo checkbox que é o A, tem o regulatório, bom, vamos pegar.
Então estamos nos preocupando com a segurança da empresa e eu quero fazer as coisas, tá?
(11:50):
O que acaba acontecendo?
Se eu pego a minha empresa e colocá-la num programa de bug bounty, o que que eu espero?
Eu espero que pessoas do mundo todo, que que eu desejo que eu quero?
Eu quero que os melhores pesquisadores do mundo parem as suas atividades atuais ou parem,por exemplo, de pesquisar a vulnerabilidade na época, pode pagar milhão de dólares por
(12:11):
vulnerabilidade lá se tu encontrar, para olharem para a minha empresa e atacarem a minhaempresa.
É isso que eu quero ao final.
Eu quero que eles testem tudo porque todo mundo quer encontrar vulnerabilidade em tudo e éisso que eles vão fazer.
E aí eu posso ter o mundo inteiro cima disso.
Então sem dúvida nenhuma que você comentou no começo de fazer o marketing, porque programade Bug Bounce pensa num programa de TV, né, mano?
(12:38):
pensa naqueles...
Exato, pensa naquele programa de TV que todo mundo pode ligar e pode ganhar prêmios.
Então...
Então assim...
Você precisa atrair as pessoas para isso, tá?
Então quando as pessoas chegam...
Penteche só um adendo, o Penteche não atrai ninguém, Você faz o contrato, paga e vai serexecutado.
(13:01):
Você define escopo e vai ser executado, ponto.
Só que aí tem estratégias que podem te ajudar a você melhorar o seu bug bount com relaçãoao penteste.
Por exemplo assim, cara, eu não vou garantir que ninguém...
Como é que eu garanto que alguém vai testar o fluxo de pagamento de cartão de crédito?
Simples?
Garantir você nunca vai garantir, porque você não tem controle de ninguém.
Da mesma forma que você contrata penteste externo, você não vai ficar olhando a tela docomputador do cara que está realizando o teu penteste para ver se o cara testou aquilo ou
(13:28):
não, tá?
simplesmente emitir relatório falando, não achei nada.
Exato, nunca vai ter controle sobre isso, entendeu?
só que o você faz?
Você pode fazer uma questão de bônus específico por funcionalidade.
Por exemplo, se você encontrar uma vulnerabilidade que no fluxo de cartões que tenha estesimpactos, a gente vai te pagar o dobro do valor na vulnerabilidade.
(13:54):
Vou dar exemplo, quando eu trabalhava na outra empresa lá cuidando da parte criptomoeda,
Cara, bem difícil, porque eu fazia gestão de bug bount lá, da minha área, ali, toda avulnerabilidade criptomoeda pagava três vezes mais.
Entende?
Então, porque a do produtor era muito crítico, muito crítico, tá?
(14:19):
Logo, o que aconteceu?
A gente acabava tendo...
Cara, é big tech, Então, mesma coisa, é mais fácil ter isso.
Só que as pessoas logo para a cara estava muito bem na área de segurança então as pessoasnão testavam tanto a área de cripto porque a gente era meio blindado né porque tinha muito
investimento de segurança naquela área.
(14:40):
Era desproporcional então a gente tinha uma pessoa de segurança para cada três quadrosdesenvolvedores é muito diferente.
Era desproporcional.
Não é, é, se era exceção nesse mundo, não era a regra.
há exceção, deceção, deceção, deceção, deceção, né?
Mas assim, quando a gente quer substituir o Pentest a gente tem que lembrar de uma coisa.
(15:04):
Nós não estamos simplesmente reduzindo o dinheiro investido no Pentest.
o dinheiro desse bobeiro até mesmo ou mais.
Exatamente, o que a gente está tentando fazer é ampliar a quantidade de pessoasprofissionais e scanners, porque todo mundo vai rodar suas ferramentas, nosso ambiente.
(15:26):
Isso que a gente quer.
A gente quer ter o resultado por dólar gasto melhor.
Não significa que a quantidade de dólar gasto vai ser menor.
Por quê?
Primeiro, o profissional nosso, que eu podia contratar um profissional de teste interno,cara, eu vou dedicar no profissional que vai criar o programa de Bug Bounce.
(15:49):
e fazer a gestão dele.
Exatamente.
Então, para fazer a triage, pensa, se eu quero muitos profissionais, uma das coisas que dásaúde ao programa do Bug Bounty é o excelente processo de triagem das vulnerabilidades.
Por quê?
Exato.
Porque se o hunter vem, encontra uma vulnerabilidade, você passa 40 dias sem triagem, essecara não volta mais ao seu programa.
(16:15):
Entendeu?
ele seja pago por isso, realmente era problema, foi pago, eu quero falar, não vou dedicartempo aqui porque eu demoro mais de mês para receber um video back, não vou fazer.
Exatamente, vai fazer o quê?
Cara, lembra que o Bug Bound, você está na vitrina e com muitas outras empresas de BugBound.
O programa de Bug Bound é, em sua essência, ser o alvo mais atrativo.
(16:43):
Entende?
literalmente, botar o alvo nas costas e andando por aí, lá e me ataque, né?
Literalmente é isso.
aí, é isso aí.
Então você tem que dar atenção.
E dar atenção a pesquisador de segurança é se comunicar com ele, é fazer a triagem corretada vulnerabilidade.
(17:04):
Se o cara falar essa vulnerabilidade é crítica e você falar é média, você tem que dialogarbem o porquê média com ele.
E aí você tá falando de cara que às vezes tem 15 anos de segurança trabalhando contra carade 2, 3 anos dentro da sua empresa que não sabe ter diálogo com esse tipo de cara.
(17:24):
Então você tem que ter cara bom trabalhando com isso, porque é daí que vai sair odinheiro.
Porque às vezes tem cara maldoso do outro lado, todo lugar, tem cara maldoso, que o cara éuma média e ele escalou pra alta no texto.
E o cara de dentro caiu.
Entendeu?
E até pegando gancho nesse caso aí, tirando a parte dos scammers, A conversa, vamos partirdo princípio que, tu é o pesquisador, eu sou a empresa.
(17:50):
Tu falou que é crítica.
É óbvio que, do ponto de vista do pesquisador, é quase que ele sempre vai puxar opassadinho pro lado dele, Pô, achei problema grave.
Talvez não só pelo fato do bônus ser maior, mas também pelo fato de, achei problema desegurança.
Naturalmente, é problema segurança, né?
É um problema, né?
Mas a empresa vai falar, espera, cara, isso aqui na verdade é SQL Injection perfeito, táaqui, mas cara, é uma base que não tem dado sensível.
(18:16):
Você extraiu dados, beleza, mas assim, não tem dado sensível nenhum.
Pra mim é negócio transacional.
assim, tem impacto, é problema, mas não é crítico.
o exato impacto ele não é crítico exato.
seja tecnicamente, mas o impacto não é crítico.
Então, essa conversa naturalmente já é difícil, tirando do contexto de Bug Bounty.
(18:37):
Pensa, é APSEC e desenvolvedor conversando.
O desenvolvedor...
Não, isso não é crítico.
Cara, é crítico.
Então, já é uma conversa difícil, vamos dizer assim.
Então, essa...
Você falou muito bem, essa maturidade interna da empresa...
E aí eu vou falar do time de APSEC, Para lidar, voltando no programa de triagem...
nessa troca com o pescador, isso se torna negócio mais crítico do que até qualquer outrotema que a puder discutir sobre o tópico.
(19:03):
Por exemplo, que plataforma eu deveria usar?
É a Hacker One?
É a Bug Crowd?
É o Gira Público?
É a porra da Planiliexcel?
Foda-se.
Na prática, foda-se.
É o de menos.
Talvez as plataformas não te dê fitos a mais ou a menos, cobra taxa mais ou menos dopagamento, e cada coisa toda.
é uma discussão válida, mas...
(19:25):
não tão crítica, diria, quanto a maturidade da própria empresa.
Mas aí voltando ao pé inicial, Benhur, como é que eu sei que eu preciso disso?
Eu estou falando, trocar a Pentest por Bug Bounce talvez, você falou, tem uma questãoregulatória, o Pentest, certo modo, na minha visão, ele ainda tem um foco muito profundo,
(19:48):
o Pentest tende, muitas vezes tende a ser caixa cinza.
até caixa branca, se dá zoar, aquela coisa toda.
Enquanto que o Bugbao diria quase 100 % caixa preta.
É o canal O Pokeball de Cocha Preta.
A menos que tu tenha alguma ferramenta Open Source que você vai colocar no jogo.
(20:08):
Exato, Smart Contracts que são públicos.
Por exemplo, alguns softwares eles tem versão Open Source.
Tipo o Bitwarden, exemplo, que tem o Open Source.
Uhum.
Mas eu acho que o Bugma...
Não, Bugma, não, desculpa, o Pentest, ele vai ter sempre essa...
Eu não vou dizer vantagem, mas...
Sabe o plus a mais, O pleonasmo, né?
(20:30):
Aquele plus a mais.
Ele pode perguntar, ele tem uma geração diferente, né?
É que daí eu tenho uma visão meio polêmica, tipo assim, cara, eu acho que não deveria sercontratado Pentest e Black Box, Eu acho que Pentest, deveria...
O que tu quer?
Tu quer que o cara...
Claro, tem alguns pontos, Pentest, eu acho que tu deveria priorizar redução de risco.
(20:55):
O cara encontrar problema e tu reduzir o risco.
só que ao mesmo tempo tem que dar acesso ao código fonte para alguém que é externo.
Então tem que fazer o trade-off do que que de fato você pode fazer.
Mas esse acho que é outro assunto.
Só uma pincelada nisso.
Por isso que acho que os dois se complementam muito bem.
Uma coisa é uma coisa, outra coisa é outra coisa.
(21:16):
Porque o Bug Bounty, em teoria, vai simular literalmente o atacante.
Ele não tem acesso a nenhum, ele tem o seu domínio ali e vai separar.
O Pentest não.
Você entrega mais coisas pra ele.
Porque você quer de fato que ele, vou dizer, entre aspas, você quer que ele chegue noTarget?
pra você mitigar os riscos e dificultar o caminho que ele chegou ali.
O bug bounty não, cara.
(21:36):
O bug é você estar dando dinheiro, né, também, pro cara te atacar.
Então você parte da premissa que você tá super protegido.
Então você vai falir, hein?
Precisa de pagar bounty, né?
Não faz sentido também, entendeu?
Então tem que ter o seu tipo maturidade, né?
Faz todo sentido, tá?
Porque assim, quando que a empresa precisa do bug bount?
Então, Tá, vamos lá.
Eu gostei de começar essa conversa pela porta do lado das casas.
(22:03):
Então, que é seguinte assim, ó.
você tem que ter nível de maturidade interessante para poder iniciar programa de bugbounty.
Por que eu acredito nisso?
Não estou dizendo que você tem que ter feito vários pen testes.
o que é agora é agora imagina que você tem programa de bug bounty e você coloca ele no are começa a receber vulnerabilidades assim.
(22:31):
Cara não acredito que tem isso aqui dentro da empresa.
alert na tela de login, ali?
Aí não dá, né?
Aquele JavaScript sendo passada como parâmetro da ORL, sabe?
agora, porque o que vai acontecer?
Tu vai receber essas vulnerabilidades?
Só que o problema de você receber essas vulnerabilidades são dois.
(22:53):
O primeiro pode ser que a empresa não tenha uma cultura de desenvolvimento seguro aindaestabilizada.
E isso significa que você tem algumas torneiras abertas, alguns ferimentos.
ainda sangrando dentro de casa.
Então a sua empresa, se ela continua evoluindo, ela continua nascendo com esse déficit dematuridade em segurança no desenvolvimento.
(23:21):
E aí, pra complementar isso você tá falando, aí o teu programa de bug bounty vai virarum...
Cara, fugiu a palavra agora.
Mas é como se fosse aquele...
Sabe, você tem que pagar a conta de água, a conta de luz, vira uma despesa, porque você tácriando problema idiota que os caras vão continuar achando porque é super idiota e você tá
jogando aquele dinheiro no ralo.
Vira uma despesa o negócio.
(23:42):
Exatamente.
Então assim, uma das coisas que eu gosto de usar o programa de Bug Pound, é primeiro detudo com certeza para escalar.
Eu tenho muitas pessoas testando tudo dentro da minha empresa.
Acho que a escala eu acho excelente, mas também gosto de usar ele para validar o nível dematuridade do que a gente tem.
(24:02):
Então vou te dar exemplo assim, cara.
Como é que está a nossa de fato, o nosso conhecimento,
materialização da segurança no desenvolvimento das aplicações.
Entende?
Que tipo de vulnerabilidade eu tenho por aí?
Porque vamos lá.
Eu não posso como SISO ou como diretor de empresa abrir programa de bug bounty.
(24:23):
Aí vem monte de vulnerabilidade.
Eu vou para o meu time de AppSec e cago na cabeça deles.
Porque veio monte de vulnerabilidade.
Porque às vezes, porque às vezes o time de AppSec é 2, 3 pessoas e tem 500 desenvolvedoreslá dentro.
Então o que você está fazendo?
hoje.
Nós somos em quatro e temos mais de mil desenvolvedores.
(24:44):
Então, assim, vocês estão com a escala de 1 para 300.
Então, a escala de 1 para 300, o bug Bounty, ele ganha outra perspectiva.
Ele ganha perspectiva de, nós não temos mão, braço aqui dentro para escalar uma avaliaçãointeira.
(25:06):
Só que eu prefiro, uma coisa que eu acho legal nesse caso é, primeiro vamos definir budgetcontrolado.
para fazer uma avaliação inteira.
Aí definiu o budget, que que tu vai fazer, ou tu vai pegar pen test, ou tu vai colocarautomações nos lugares que você precisa, você vai ter feito uma varredura para encontrar
essas coisas.
E agora é o seguinte, cara, eu quero escalar os nossos testes para que a gente tenhapessoas do nosso lado, sejam internas ou externas, nos ajudando a encontrar
(25:37):
vulnerabilidades aonde nós, da equipe de EPSEC, não conseguimos chegar hoje.
Quando você...
vale destacar ainda o seguinte, esse budget
Quero colocar isso de uma forma que não pareça estranha, mas por exemplo, esse budget vemde algum lugar, Ele tem valor, é quanto?
(26:02):
Às vezes o cara não vai conseguir mensurar isso.
Ah, é milhão, é 500 mil, eu não sei, porque é algo novo.
Olhar pro bookbounce da minha empresa que gente tá montando é algo novo.
Então cara não sabe quanto vai custar aquilo.
Entende?
Eu posso falar, beleza, vou gastar mil dólares nesse budget, nesse programa.
Beleza, mil dólares pode ser uma, vou dar uma belata pro cara show.
(26:22):
E aí você já esgotou seu bunch, já fechou o seu programa.
Então esse quanto pode ser dificuador.
É, e ninguém vai voltar lá.
Então esse quanto também eu diria que ele é crítico do ponto de vista e é executivo desaber quanto.
E talvez uma métrica seja o quanto você já gasta hoje em pen test, quando você já investee tudo mais.
(26:43):
Porque tem empresa que tem orçamento milionário para cyber e outras que zero.
Então tem isso também.
Exato, aí é bom ponto, tá?
Porque uma das estratégias que você pode fazer é tipo, lançar programa privado, né?
Que aí não é todo mundo do mundo que vai chegar ali, então tipo assim, o que você podefazer?
Você pode lançar programa privado e esse programa privado você pode assinar budget praesse programa privado.
(27:06):
Sei lá, 50 mil dólares, não é barato, tá?
Vamos lá, 50 mil dólares.
E aí você entrega assim, vulnerabilidades, baixa a gente vai pagar 50 dólares, média agente vai pagar 250 dólares.
alta a gente vai pagar 600 dólares crítica a vai pagar 1500 dólares.
Vou dar exemplo.
entra features de plataformas que vão te ajudar.
(27:28):
Por exemplo, é programa privado, mas eu quero que a plataforma, sei hacker one da vida,distribua isso só para quem está bem posicionado nos rankings mundiais, ou só do Brasil,
ou só não sei o Então tem até isso, porque você pode selecionar quem pode participar doteu programa nesse contexto.
Exatamente, porque assim, todo mundo quer pão fresco.
(27:52):
Boa analogia.
Quem tira...
Então todo mundo quer.
isso ajuda.
Aí você fala o seguinte, olha pessoal, nós vamos ter o processo.
Aí é bom descrever o processo, né?
Nós vamos estar abrindo esse programa do dia X ao dia Y, tá?
(28:15):
Todas as vulnerabilidades nós vamos fazer a triage e pagamento desse dia para esse dia.
Entendeu?
Nós vamos ter período de contestação.
Que é contestação?
Poxa, tu falou que é crítico, eu tô dizendo na minha empresa que é médio.
Nós vamos ter período de contestação, né?
E aí vai ser pago, vai ser descrito, as pessoas vão ser pagos tudo aqui.
(28:37):
Beleza, o que acontece se for duplicada a vulnerabilidade?
Mais de uma pessoa encontrar essa vulnerabilidade.
o primeiro que encontrou vai ganhar 50 % ou 60 % daquela vulnerabilidade, os outros vão...
dividir os outros 40 % entre eles ou não, às o primeiro que encontrou vai ganhar 70, 80 ouàs vezes não, o primeiro que encontrou vai ganhar tudo e o restante vai ganhar como
(29:00):
duplicado e não vai ganhar nada você define isso, só que uma vez que você definiu isso aívocê tem que fazer o AlarG, Tem que deixar a HackerOne levar isso para as pessoas internas
e sem dúvida nenhuma com esse tempo conseguiria isso, qual que é o objetivo?
Eu vejo o Bug Bounce nesse momento quando tu fala assim, ó cara
(29:21):
Não tem mais braço aqui internamente.
Eu preciso validar minha empresa, né?
Para contratar pentest para minha empresa como todo, vai me custar dinheiro enorme.
Exato, custar uma fortuna, exatamente.
Então eu quero fazer teste de bug bounte aberto, assim, para o pessoal ali dentro, com oobjetivo de escalar.
(29:45):
Por que é importante a falar isso aqui?
São de teste e tal, etc.
É porque, é realmente o modelo de você abrir um negócio e vender ele.
Porque não é garantido que você vai ter pessoas testando.
Não é garantido.
Por mais que você queira, não é.
(30:05):
é engraçado esse olhar desse ponto de vista, porque até bug bounte interno, eu jáparticipei de coordeneio, mas eu trabalhei empresas que tinham bug bounte interno, que a
aderência era muito baixa.
Internamente as pessoas não queriam participar, não queriam dedicar tempo naquilo, naverdade o bounte não era grana, mas a empresa, sei lá, exemplo, tá?
(30:29):
para não ficar tão óbvio que empresa que era.
Imagina você trabalha na Lamborghini.
Então o Bounty era, cara, você achou problema, você vai ganhar, vai no parque daLamborghini, vai ganhar um carro, sabe?
Então o Bounty era os produtos da empresa que eram produtos muito caros, coisas caras que,principalmente, todo mundo quer ter.
(30:50):
Então era atrativo, muito.
Mas a adesão da parada internamente era muito baixa.
Tinha promoção...
1%, é 1 a 2 % adesão.
tinha marketing interessante, assim, cara, parece que o negócio não andava.
E a gente que era o time de segurança, a gente tinha, pelo menos na época, tinha ummapeamento de muita vulnerabilidade, tinha uma certa maturidade lá, mas assim, não sei,
(31:16):
até hoje eu não sei porque que a parada não andava.
Eu era de sec, mas não era de upssec, enfim, mas eu conversava com a galera e tal, esseera o contexto que gente tinha.
Então, eu acho que o que a gente está olhando aqui, tentando ajudar a galera que estáouvindo é...
Tentar não cometer alguns erros e saber mais ou menos qual o caminho trilhar para montar oteu programa de AppSec.
Aí uma próxima pergunta, Benhor, o que você acha?
(31:37):
Faz sentido montar sem usar uma plataforma?
Tipo, falar, não, vou fazer por conta aqui e tal.
O que você acha?
não acho, eu não acho, tá?
Eu não acho porque o custo para você montar ele do zero separado, eu acho que ele acabasendo maior do que você contratar a plataforma.
(32:01):
Você paga FIZINHA ali e já era, Em teoria,
cara, acho assim, porque daí você já tem a plataforma conhecida.
Por exemplo, você vai montar lá programa privado, Cara, você conhece os melhores hackerspra convidar eles assim?
Entendeu?
Então tipo assim, e a outra questão é, e eles vão acreditar que de fato...
(32:25):
né, tá fazendo negócio certo e tal, entende?
Porque vamos lá, do tanto do lado da empresa, ela quer dar credibilidade, mas o outrolado, ele tá disputando com o tempo das outras pessoas, entende?
Então eu vou parar para olhar para a sua empresa, eu vou olhar para a outra do lado alique já tá tudo dentro da plataforma que eu uso.
(32:52):
da consolidada e tal, etc.
Então, cara, hoje eu não arriscaria fazer um programa na mão.
Eu não.
Eu não, eu não.
Dá pra fazer?
Cara, dá pra fazer.
Só que daqui a pouquinho, Tipo assim, a vai fazer a triagem como?
(33:15):
Vai ser por e-mail?
Cara, inferno.
Entendeu?
loucura, loucura.
vai é vai abrir ticket no gira vai abrir sabe cara não acho que tipo e se tiver desacordose gerar desacordo eterno entendeu tipo lá lá na hacker one tem que chamar de moderação
(33:36):
entendeu então a própria plataforma ajuda a moderar os esquemas sabe então
pessoas que já foram banidas, por exemplo, não vai vir pro teu programa.
De alguma forma o cara foi banido.
Sei lá, coisas do tipo.
Exatamente, Então, cara, eu não arriscaria hoje.
Eu prefiro fazer, a plataforma e eu me focar no programa em si.
(33:58):
Até uma...
Pra gente encerrar, Porque o tempo é dinheiro.
Até item pra gente voltar no próximo episódio com convidado que gente programou de fazerepisódio também pra falar e aí do ponto de vista do pesquisador, né?
Mas até item específico que talvez passe desapercebido é a legal, a questão decontabilidade, contábil mesmo.
(34:20):
Eu tô tirando dinheiro pra pagar a pessoa física?
porque o pesquisador é uma pessoa física natural, ele não vai te emitir uma nota porqueachou a vulnerabilidade na sua empresa, é...
no outro lugar do mundo.
Então, até essa questão contábil legal, a plataforma vai...
porque o seu dinheiro está indo para a plataforma, aí ele vai tirar ali a porcentagemdele, imagina, e ele vai pagar o pesquisador e tal.
(34:41):
Então, tem uma questão contábil, contábil legal, que você não quer ter essa dor de cabeça.
Você tinha que pagar um ou...
mil bounts no mês, cara.
Imagina a contabilidade disso.
Você está pagando pessoa física e tal.
Não, então assim, não rola o controle de...
Não, não, não, não, não.
Aí você fala ao pesquisador, então, como você é fornecedor, é 90 dias para eu te pagar.
(35:04):
Que é que acontece, né?
Aí o cara fala, não, não, não, obrigado, Devolve minha vulnerabilidade aí.
você paga a hacker one por exemplo você paga buggy crown você paga a plataforma e aplataforma paga entendeu então mas em resumo assim dois casos que eu vejo quando você
precisa do programa de bug bount primeiro você já tem uma maturidade bem grande você querexpandir isso eu quero trazer skills novas
(35:29):
como é que eu meço essa vulnerabilidade, essa maturidade?
O aspisan resolve?
O que você acha?
Para eu saber, beleza, estou maduro.
aspisanzinho ajuda, né?
ajuda bastante.
Quando você começa, quando você entende que você já está velocidade de cruzeiro com todasas práticas que você definiu.
(35:52):
O programa de Bug Bound ajuda você expandir isso e você ganhar aquela escalabilidade.
E a outra questão é você agregar
ações que você não tem hoje como chegar lá.
Por exemplo, cara, não consigo pegar pentester e contratar pentester para pegar minhaempresa inteira.
(36:14):
Cara, eu não consigo ter tempo sobrando para conseguir olhar cada produto meu ou novo quesaia, atualização que saia, porque vamos lá, tempo do seu time você sempre vai consumir.
Para fazer gestão do programa.
(36:35):
Então, dependendo do tamanho do seu programa, tem que ter cara que vai entender disso,profissional que vai entender disso.
Ele não é algo que você coloque e é plug and play.
Não é.
Então.
nesse lugar nenhum, cara.
Isso é prática, é experiência, não tem como.
(36:56):
Exatamente exatamente.
aí por exemplo como é que agora é outra questão como que eu monto a definição no meuprograma de bug mount.
Uma vez que eu tomei a decisão de montar.
Tem o próximo episódio.
Boa.
Bem-vindos, obrigado.
que boa volta depois de três, quatro, mês que gente está sem gravar, na verdade.
(37:21):
Mas, cara, esse tópico é muito foda.
fazer curso disso.
Como montar programa de Bugnaut.
Boa.
Tá fazendo workshop material disso, que é bem bacana.
Bom, pessoal, nos vemos na próxima semana.
Eu sou o Caso Pereira.
Eu sou Ben Hur.
Nem teve vinheta hoje, vamos direto pro encerramento.
Valeu pessoal, tchau tchau.
beirás.
Popular Podcasts
Stuff You Should Know
If you've ever wanted to know about champagne, satanism, the Stonewall Uprising, chaos theory, LSD, El Nino, true crime and Rosa Parks, then look no further. Josh and Chuck have you covered.
Dateline NBC
Current and classic episodes, featuring compelling true-crime mysteries, powerful documentaries and in-depth investigations. Follow now to get the latest episodes of Dateline NBC completely free, or subscribe to Dateline Premium for ad-free listening and exclusive bonus content: DatelinePremium.com
The Burden
The Burden is a documentary series that takes listeners into the hidden places where justice is done (and undone). It dives deep into the lives of heroes and villains. And it focuses a spotlight on those who triumph even when the odds are against them. Season 5 - The Burden: Death & Deceit in Alliance On April Fools Day 1999, 26-year-old Yvonne Layne was found murdered in her Alliance, Ohio home. David Thorne, her ex-boyfriend and father of one of her children, was instantly a suspect. Another young man admitted to the murder, and David breathed a sigh of relief, until the confessed murderer fingered David; “He paid me to do it.” David was sentenced to life without parole. Two decades later, Pulitzer winner and podcast host, Maggie Freleng (Bone Valley Season 3: Graves County, Wrongful Conviction, Suave) launched a “live” investigation into David's conviction alongside Jason Baldwin (himself wrongfully convicted as a member of the West Memphis Three). Maggie had come to believe that the entire investigation of David was botched by the tiny local police department, or worse, covered up the real killer. Was Maggie correct? Was David’s claim of innocence credible? In Death and Deceit in Alliance, Maggie recounts the case that launched her career, and ultimately, “broke” her.” The results will shock the listener and reduce Maggie to tears and self-doubt. This is not your typical wrongful conviction story. In fact, it turns the genre on its head. It asks the question: What if our champions are foolish? Season 4 - The Burden: Get the Money and Run “Trying to murder my father, this was the thing that put me on the path.” That’s Joe Loya and that path was bank robbery. Bank, bank, bank, bank, bank. In season 4 of The Burden: Get the Money and Run, we hear from Joe who was once the most prolific bank robber in Southern California, and beyond. He used disguises, body doubles, proxies. He leaped over counters, grabbed the money and ran. Even as the FBI was closing in. It was a showdown between a daring bank robber, and a patient FBI agent. Joe was no ordinary bank robber. He was bright, articulate, charismatic, and driven by a dark rage that he summoned up at will. In seven episodes, Joe tells all: the what, the how… and the why. Including why he tried to murder his father. Season 3 - The Burden: Avenger Miriam Lewin is one of Argentina’s leading journalists today. At 19 years old, she was kidnapped off the streets of Buenos Aires for her political activism and thrown into a concentration camp. Thousands of her fellow inmates were executed, tossed alive from a cargo plane into the ocean. Miriam, along with a handful of others, will survive the camp. Then as a journalist, she will wage a decades long campaign to bring her tormentors to justice. Avenger is about one woman’s triumphant battle against unbelievable odds to survive torture, claim justice for the crimes done against her and others like her, and change the future of her country. Season 2 - The Burden: Empire on Blood Empire on Blood is set in the Bronx, NY, in the early 90s, when two young drug dealers ruled an intersection known as “The Corner on Blood.” The boss, Calvin Buari, lived large. He and a protege swore they would build an empire on blood. Then the relationship frayed and the protege accused Calvin of a double homicide which he claimed he didn’t do. But did he? Award-winning journalist Steve Fishman spent seven years to answer that question. This is the story of one man’s last chance to overturn his life sentence. He may prevail, but someone’s gotta pay. The Burden: Empire on Blood is the director’s cut of the true crime classic which reached #1 on the charts when it was first released half a dozen years ago. Season 1 - The Burden In the 1990s, Detective Louis N. Scarcella was legendary. In a city overrun by violent crime, he cracked the toughest cases and put away the worst criminals. “The Hulk” was his nickname. Then the story changed. Scarcella ran into a group of convicted murderers who all say they are innocent. They turned themselves into jailhouse-lawyers and in prison founded a lway firm. When they realized Scarcella helped put many of them away, they set their sights on taking him down. And with the help of a NY Times reporter they have a chance. For years, Scarcella insisted he did nothing wrong. But that’s all he’d say. Until we tracked Scarcella to a sauna in a Russian bathhouse, where he started to talk..and talk and talk. “The guilty have gone free,” he whispered. And then agreed to take us into the belly of the beast. Welcome to The Burden.