Diventa Autore per CoreTech | Scopri di più
15/12/23 Camillo Lucariello Blog
Il nome è suggestivo e piuttosto chiaro: quando si parla di bounty, cioè taglia in Italiano, si ricordano immediatamente i bounty killer del West Americano, detti anche “cacciatori di taglie”, che cercavano e uccidevano pericolosi banditi per ottenere le ricompense promesse dalle autorità USA nell’800 del secolo scorso. Nel caso dei Bug Bounty non si tratta di un’azione omicida, ma piuttosto di un lavoro di hacking etico (Ethical Hacking) svolto da esperti esterni all’azienda e che viene comunque riconosciuto e premiato dall’azienda stessa. Chi riesce a trovare un bug di sicurezza nel software di un’azienda, innanzi tutto riceve un premio in denaro (bounty); quindi, il riconoscimento si estende spesso all’inseri-mento del nome del protagonista della scoperta in una speciale classifica pubblicata sul sito dell’azienda e quindi resa nota anche attraverso i canali di comunicazione utilizzati dall’azienda stessa. Volendo aggiungere un altro punto di vista si può dire che il successo incontrato soprattutto di recente dai programmi di Bug Bounty è legato al parallelo insuccesso dei programmi di ID/IP (Intrusion Detection / Intrusion Prevention, cioè scoperta e prevenzione dei tentativi di intrusione nei sistemi IT delle organizzazioni).
Le motivazioni per implementare un programma di questo genere sono molteplici, ma le principali sono, secondo noi, tre: la prima, collaudare in modo efficace ed efficiente (anche dal punto di vista economico) i sistemi informativi dell’azienda che lo lancia; poi, coinvolgere e motivare gli ethical hacker e, infine, migliorare la reputazione e la conoscenza generale dell’Azienda. Il coinvolgimento degli ethical hacker ottiene diversi vantaggi, tra cui far conoscere le attività dell’azienda che lancia il programma e avviare o rendere più stretto il rapporto di collaborazione che inevitabilmente si crea tra i due soggetti coinvolti. Infatti, per sondare le difese web dell’azienda, gli ethical hacker devono visitarne con attenzione i siti e valutarne le soluzioni, oltre a utilizzarle in pratica per capirne le modalità funzionali e le potenziali vulnerabilità. Quindi, avviare un programma di questo tipo porta vantaggi reciproci in una modalità win-win, che, tra l’altro, consentono anche di accrescere le competenze e le motivazioni dei collaboratori dell’azienda e dei partner. Questi sono alcuni dei motivi che hanno convinto CoreTech a lanciare un Bug Bounty Program, attivo già da qualche anno ma che è stato di recente aggiornato e rivitalizzato.
La pubblicazione sul sito dell’azienda promotrice del programma di Bug Bounty regala ai protagonisti dell’attività correlata, oltre alla visibilità, una forma di promozione professionale, in quanto evidenzia il loro livello di preparazione e di efficacia nella ricerca e nell'identificazione dei bug presenti nel software analizzato. Addirittura, le aziende pubblicano una vera e propria “Hall of Fame”, o vetrina delle eccellenze, inserendo l’elenco dei migliori collaboratori nella ricerca di bug, con una classifica (in termini di numero di bug e loro importanza) che consente di introdurre un elemento di competizione. Questo ovviamente si traduce nella possibilità di proporsi al mercato esterno come esperti di livello più elevato, con ovvi ritorni economici e di accrescimento del proprio parco clienti.
La ricerca dei Bug Bounty Program attivi in un determinato momento viene solitamente demandata a siti specializzati, che agiscono come motori di ricerca e intermediari e fanno incontrare aziende ed esperti/professionisti, gestendo gli aspetti pratici dell’adesione ai Programmi.
Un esempio, forse il più significativo, è sicuramente HackerOne (https://hackerone.com/bug-bounty-programs), azienda di San Francisco con uffici in Europa, a Londra e in Olanda. Si dichiarano leader nell’ARM (Attack Resistance Management) e spiegano che il loro obiettivo è quello di “chiudere il divario (in termini) di security tra quello che le organizzazioni posseggono e quello che possono proteggere”. L’approccio ARM “miscela la competenza in sicurezza degli hacker etici con la scoperta, l’assessment continuo e i miglioramenti di processo che consentono di ridurre il divario suddetto nella superficie di attacco digitale in costante evoluzione”.
Anche Bugcrowd (https://www.bugcrowd.com/) ha conquistato una notevole visibilità, grazie al numero di bug che è stato in grado di registrare e ai premi distribuiti. Per dettagli sul loro programma di Bug Bounty, visitare: https://bugcrowd.com/bugcrowd.
Da ultimo, ricordiamo l’europea YesWeHack (https://www.yeswehack.com/), con il primo programma europeo di Bug Bounty, lanciato nel 2016, che ha consentito di individuare numerose vulnerabilità nelle soluzioni di diverse aziende (https://yeswehack.com/programs/yes-we-hack).
Quello che segue è un elenco aggiornato ad oggi, necessariamente non esaustivo, di vari Big Bounty Program lanciati da aziende attive nello spazio ICT, suddivisi per nazione di appartenenza. L’elenco verrà integrato ed esteso appena possibile con le informazioni disponibili al momento della compilazione.
| PAESE | AZIENDA | SETTORE | SITO BUG BOUNTY PROGRAM | |
| Italia | N26 | Banking | https://n26.com/it-it/bug-bounty-program | |
| Italia | Bug Bounty Program | ICT | https://www.coretech.it/it/service/security/bug_bounty_program.php | |
| USA | Intel | H/W e S/W | https://www.intel.com/content/www/us/en/security-center/bug-bounty-program.html | |
| USA | Cisco | Software e H/W | https://sec.cloudapps.cisco.com/security/center/resources/cisco_bug_bounty_faq.html | |
| USA | Apple | S/W e H/W | https://support.apple.com/en-in/102549 | |
| USA | Microsoft | H/W e S/W | https://www.microsoft.com/en-us/msrc/bounty?rtc=1 | |
| USA | Harman Int.l | Connected Car |
https://yeswehack.com/programs/harman-international-public-bug-bounty |
|
| Francia | DoctoLib | S/W e-health |
https://www.doctolib.fr/sante/bug-bounty-program/#explication |
|
| Francia | October M. | Fintech | https://yeswehack.com/programs/october-marketplace |
