Request Support  | Contact Sales

Diventa Autore per CoreTech | Scopri di più





Un programma a premi per trovare falle nella security

15/12/23 Camillo Lucariello Blog

Si chiama Bug Bounty Program il metodo utilizzato da CoreTech per accelerare e rendere maggiormente efficace e collaborativa la scoperta delle falle di sicurezza presenti nel software

Il nome è suggestivo e piuttosto chiaro: quando si parla di bounty, cioè taglia in Italiano, si ricordano immediatamente i bounty killer del West Americano, detti anche “cacciatori di taglie”, che cercavano e uccidevano pericolosi banditi per ottenere le ricompense promesse dalle autorità USA nell’800 del secolo scorso. Nel caso dei Bug Bounty non si tratta di un’azione omicida, ma piuttosto di un lavoro di hacking etico (Ethical Hacking) svolto da esperti esterni all’azienda e che viene comunque riconosciuto e premiato dall’azienda stessa. Chi riesce a trovare un bug di sicurezza nel software di un’azienda, innanzi tutto riceve un premio in denaro (bounty); quindi, il riconoscimento si estende spesso all’inseri-mento del nome del protagonista della scoperta in una speciale classifica pubblicata sul sito dell’azienda e quindi resa nota anche attraverso i canali di comunicazione utilizzati dall’azienda stessa. Volendo aggiungere un altro punto di vista si può dire che il successo incontrato soprattutto di recente dai programmi di Bug Bounty è legato al parallelo insuccesso dei programmi di ID/IP (Intrusion Detection / Intrusion Prevention, cioè scoperta e prevenzione dei tentativi di intrusione nei sistemi IT delle organizzazioni).

Perché un Bug Bounty Program

Le motivazioni per implementare un programma di questo genere sono molteplici, ma le principali sono, secondo noi, tre: la prima, collaudare in modo efficace ed efficiente (anche dal punto di vista economico) i sistemi informativi dell’azienda che lo lancia; poi, coinvolgere e motivare gli ethical hacker e, infine, migliorare la reputazione e la conoscenza generale dell’Azienda. Il coinvolgimento degli ethical hacker ottiene diversi vantaggi, tra cui far conoscere le attività dell’azienda che lancia il programma e avviare o rendere più stretto il rapporto di collaborazione che inevitabilmente si crea tra i due soggetti coinvolti. Infatti, per sondare le difese web dell’azienda, gli ethical hacker devono visitarne con attenzione i siti e valutarne le soluzioni, oltre a utilizzarle in pratica per capirne le modalità funzionali e le potenziali vulnerabilità. Quindi, avviare un programma di questo tipo porta vantaggi reciproci in una modalità win-win, che, tra l’altro, consentono anche di accrescere le competenze e le motivazioni dei collaboratori dell’azienda e dei partner. Questi sono alcuni dei motivi che hanno convinto CoreTech a lanciare un Bug Bounty Program, attivo già da qualche anno ma che è stato di recente aggiornato e rivitalizzato.

La classifica “Hall of Fame” e gli intermediari

La pubblicazione sul sito dell’azienda promotrice del programma di Bug Bounty regala ai protagonisti dell’attività correlata, oltre alla visibilità, una forma di promozione professionale, in quanto evidenzia il loro livello di preparazione e di efficacia nella ricerca e nell'identificazione dei bug presenti nel software analizzato. Addirittura, le aziende pubblicano una vera e propria “Hall of Fame”, o vetrina delle eccellenze, inserendo l’elenco dei migliori collaboratori nella ricerca di bug, con una classifica (in termini di numero di bug e loro importanza) che consente di introdurre un elemento di competizione. Questo ovviamente si traduce nella possibilità di proporsi al mercato esterno come esperti di livello più elevato, con ovvi ritorni economici e di accrescimento del proprio parco clienti.

La ricerca dei Bug Bounty Program attivi in un determinato momento viene solitamente demandata a siti specializzati, che agiscono come motori di ricerca e intermediari e fanno incontrare aziende ed esperti/professionisti, gestendo gli aspetti pratici dell’adesione ai Programmi.

Un esempio, forse il più significativo, è sicuramente HackerOne (https://hackerone.com/bug-bounty-programs), azienda di San Francisco con uffici in Europa, a Londra e in Olanda. Si dichiarano leader nell’ARM (Attack Resistance Management) e spiegano che il loro obiettivo è quello di “chiudere il divario (in termini) di security tra quello che le organizzazioni posseggono e quello che possono proteggere”. L’approccio ARM “miscela la competenza in sicurezza degli hacker etici con la scoperta, l’assessment continuo e i miglioramenti di processo che consentono di ridurre il divario suddetto nella superficie di attacco digitale in costante evoluzione”.

Anche Bugcrowd (https://www.bugcrowd.com/) ha conquistato una notevole visibilità, grazie al numero di bug che è stato in grado di registrare e ai premi distribuiti. Per dettagli sul loro programma di Bug Bounty, visitare: https://bugcrowd.com/bugcrowd.

Banner

Da ultimo, ricordiamo l’europea YesWeHack (https://www.yeswehack.com/), con il primo programma europeo di Bug Bounty, lanciato nel 2016, che ha consentito di individuare numerose vulnerabilità nelle soluzioni di diverse aziende (https://yeswehack.com/programs/yes-we-hack).

 

I programmi delle aziende

Quello che segue è un elenco aggiornato ad oggi, necessariamente non esaustivo, di vari Big Bounty Program lanciati da aziende attive nello spazio ICT, suddivisi per nazione di appartenenza. L’elenco verrà integrato ed esteso appena possibile con le informazioni disponibili al momento della compilazione.

PAESE   AZIENDA SETTORE SITO BUG BOUNTY PROGRAM  
Italia N26 Banking https://n26.com/it-it/bug-bounty-program    
Italia Bug Bounty Program ICT https://www.coretech.it/it/service/security/bug_bounty_program.php
USA Intel       H/W e S/W https://www.intel.com/content/www/us/en/security-center/bug-bounty-program.html                            
USA Cisco Software e H/W https://sec.cloudapps.cisco.com/security/center/resources/cisco_bug_bounty_faq.html
USA Apple     S/W e H/W https://support.apple.com/en-in/102549
USA Microsoft H/W e S/W https://www.microsoft.com/en-us/msrc/bounty?rtc=1
USA Harman Int.l Connected Car

https://yeswehack.com/programs/harman-international-public-bug-bounty

Banner

Francia DoctoLib S/W e-health

https://www.doctolib.fr/sante/bug-bounty-program/#explication

Francia October M. Fintech  https://yeswehack.com/programs/october-marketplace

 


Articoli su CoreTech

Web Design Sostenibile: cos’è e perché dovresti considerarloSostenibilità Digitale: cos’è e perché è così importante?Sostenibilità digitale: perché è importante per le aziendeKarma Metrix: misura, migliora e comunica l’impatto ambientale di un sito webIl web inquinaUn programma a premi per trovare falle nella securityL’Intelligenza Artificiale in pratica – Parte IL’Intelligenza Artificiale in pratica – Parte IILa resa dei conti del WEL! Si decide tutto a Le Mans.Vicini all’impresa: secondo posto alla 24h del Nurburgring-Nordschleife 2023TRASFORMARSI DA "AZIENDA CHE NOLEGGIA MULTIFUNZIONI" IN PARTNER TECNOLOGICOCoreTech, il punto di riferimento N-Able per gli MSP7° tappa del Winery Tour8° e conclusiva tappa del Winery Tour5° tappa del Winery Tour6° tappa del Winery TourAdobe Creative Cloud, Acrobat e Sign4° tappa del Winery Tour3° Tappa del Winery Tour2° Tappa del Winery TourNurburgring-Nordschleife 24oreNuovo Data Center per 1StackSiamo in finale all'Italian Channel Awards come Miglior Team di Supporto al Canale!CoreTech partecipa agli Italian Channel Awards come Miglior Team di Supporto al CanaleScopri il team CoreTech Racing oN3Nasce Cloud Academy by CoreTechMoto E - 3 giorni di test di preparazioneMoto ESereno NataleSulla piattaforma CSP CoreTech il servizio alla PA è vincentePer Natale regalati la formazione!La nuova formazione CoreTech per rinnovare il canaleCoreTech certificato AGID CSP per la PADa oggi puoi offrire la tua soluzione alla PA con CoreTechPillole di Sicurezza | Episodio 19Pillole di Marketing | E19 - 1 di 7Pillole di Sicurezza | Episodio 18Pillole di Marketing | E18Cloud provider: ambiente virtualizzato per affari concretiTalk sulle Nuove opportunità per investimenti digitali e per investimenti sull'exportCoreTech: la qualità dei servizi è certificataNon aspettare di essere schiacciato, gioca d'anticipo!Errori di configurazione della sicurezza e conseguenze per la sicurezza webPillole MSP da Richard Tubb | 1 di 19Curioso di scoprire quali soluzioni metteremo a tua disposizione gratuitamente?Virtual Cloud Provider: ecco la strategia contro la disintermediazioneHai a cuore la sicurezza dei tuoi server?Pillole di Marketing | E15Pillole di Marketing | Episodio 14Cloud di qualità certificato ISOCosa ti lasciano i Big Player?Pillole di Cloud | Episodio 12Pillole di Sicurezza | Episodio 14Dicono che il Cloud costa troppo? Con CoreTech è gratis!Pillole di Marketing | Episodio 13Pillole di Cloud | Episodio 11Imposta basi solide per il tuo businessPillole di Sicurezza | Episodio 13Pillole di Sicurezza | Episodio 12Pillole di Marketing | Episodio 11Pillole di Marketing | Episodio 10Pillole di Sicurezza | Episodio 11Pillole di Marketing | Episodio 9CoreTech sponsor al RomHack 2020Pillole di Marketing | Episodio 8Il Cloud White Label scende in pista con la MotoE: CoreTech per Gresini RacingPillole di Sicurezza | Episodio 10CoreTech sponsor tecnico ufficiale di Gresini Racing per il campionato di MotoEPillole di Marketing | Episodio 7Pillole di Sicurezza | Episodio 9CoreTech si è certificato per garantirvi servizi e prodotti sicuri e di qualità!CoreTech scende in Pista ... GUARDANDO AL FUTURO!Pillole di Sicurezza | Episodio 8Pillole di Marketing | Episodio 6Pillole di Sicurezza | Episodio 7Pillole di Sicurezza | Episodio 6Pillole di Marketing | Episodio 4Pillole di Marketing | Episodio 5Pillole di Sicurezza | Episodio 5Entra anche tu a far parte della prima Community che parla di Cloud in ItaliaPillole di Marketing | Episodio 3Pillole di Sicurezza | Episodio 4Pillole di Sicurezza | Episodio 3Diventa un Cloud Provider Grazie al White LabelGiovedì 7 Maggio, ore 16.00 | VIDEO CONFERENZA APERTA A TUTTIPillole di Sicurezza | Episodio 2I consigli di Richard Tubb | Emergenza CovidPillole di Marketing | Episodio 2L’effetto WOWvCP - Diventare Virtual Cloud Provider grazie al White Label di CoreTechScadenze di Aprile e possibili crisi di liquidità. Cosa può fare CoreTech per i PartnerPillole di Marketing | Episodio 1Link e informazioni relative a Video Call del 24 MarzoAppello ore 18.30 del 24 Marzo. Facciamo il PUNTO e AIUTIAMOCI tra NOIAppello ore 18.30. Aiutiamo i nostri clienti. Video Chiamata aperta a tuttiCoreTech White Label!Patrick Vaccalluzzo, marketing & sales, CoreTechNuovo menu sul sito CoreTechSopravvivere al cloud, la rivoluzione per i partner vista da CoreTechRisveglio dal torpore in cerca del cambiamento: la trappola della Confort Zone!14 Workshop GRATUITI con CoreTechMSP - Che differenza c’è tra lavorare SUL Business o NEL Business?Come sono diventato Sistemista....Per vincere...News dallo ShopNews dallo Shop – CoreTech Live Support#1 CoreTech Chat – La tua opinione conta!Italia Paese di innovazioneTi fanno pagare tutto, anche l'aria che respiri… e poi si fanno chiamare Partner!È ufficiale, Micro Focus sarà Partner del Summit 2018Online la pagina che raccoglie tutte le registrazioni dei webinar disponibiliNews Shop CoreTechAttenzione ai falsi operatori Microsoft, due persone già truffatePromozioni del meseNews dello Shop CoreTechCoreTech entra a far parte di CompTIA, la Community dedicata all’ITSHOP CORETECH SCOPRI LE NUOVE FUNZIONALITÀPorta un amico!CoreTech, distributore GFI-Kerio per l’ItaliaComunicazione di servizio: numero di telefonoCorsi Febbraio 2016!Promozione Festival ICTStartUp e MigrazioniWorkshop 2015Iscrizione Webinar - nuova proceduraI corsi sono indispensabili per “afferrare” alcuni concettiSMAU Milano 2015 - Richiedi il tuo invito elettronico!Aperte le iscrizioni al festival ICT 2015CoreTech Partern Gold dell'evento internazionale riconosciuto da Joomla!.orgCoreTech, da oggi nasce il primo New Generation ProviderNovità da CoreTech