
Potrebbe sembrare un paradosso: incaricare qualcuno affinché violi il nostro perimetro informatico.
Eppure, è questa l’attività che alcune aziende svolgono in modo totalmente lecito.
Si tratta di società che includono la presenza di specialisti tra cui i White Hat, il cui obiettivo è quello di testare i sistemi informatici e le infrastrutture IT allo scopo di portare alla luce tutti i punti deboli, prima che questi diventino di dominio pubblico e che possano essere sfruttati dagli hacker.
L’attività di bug bounty è estremamente importante poiché consente di testare la sicurezza dei sistemi informatici con lo scopo di scongiurare e limitare il rischio di attacchi informatici che possano crearsi successivamente gravi danni aziendali, sia in termini di immagine che in termini economici.
I programmi di bug bounty, pertanto, sono strumenti impiegati da hacker professionisti per individuare i bug (o le vulnerabilità informatiche) all’interno dei loro sistemi.
Normalmente, se un hacker etico scopre una vulnerabilità, il passo successivo sarà quello di inviare una segnalazione all’organizzazione che gli ha commissionato il lavoro, spesso attraverso una piattaforma come HackerOne.
L’organizzazione, una volta ricevuta la segnalazione, collabora quindi con l’hacker etico per convalidare l’esistenza della vulnerabilità, correggerla e verificare che la patch funzioni.
Bug bounty: pagati per bucare i sistemi
Il bug bounty consiste proprio nell’essere ricompensati per ricercare bug di sistema.
A volte si tratta di vere e proprie attività lavorative, a volte di sfide che prevedono un premio finale e a volte persino di lavoro su ricompensa.
Solitamente l’attività di bug bounty prevede una ricompensa specifica anche in funzione della tipologia di bug rilevato.
Emerge quindi una nuova figura professionale: un tecnico specializzato, spesso esterno all’azienda.
Il compenso dedicato all’attività di bug bounty varia in base al tempo dedicato a trovare le vulnerabilità. Si tratta quindi di un soggetto che non rimane più nell’anonimato e nascosto, ma esce allo scoperto, pubblica articoli o report senza nascondersi nell’ombra.
Il lato economico riveste sicuramente la sua importanza, ma vi sono altri elementi più profondi: il gusto della sfida e la curiosità, elementi ancestrali che spingono l’uomo a varcare i limiti definiti inviolabili e trovare cose nuove, per appagare soddisfazioni non monetizzabile.
Esistono piattaforme in grado di pianificare sempre più meticolosamente questi programmi di crowdsourcing, arrivando a bilanciare cifre anche importanti, riconoscendo ricompense che possono variare dai 150 ai 3000 dollari per ogni bug.
C’è un altro lato della medaglia: fino a poco tempo fa la maggior parte delle aziende risultava restia nell’accettare o condividere segnali di vulnerabilità della propria sicurezza informatica. Tantomeno se queste falle venivano individuate da personale esterno.
Il timore principale era – e per molti è ancora – quello di vedere la propria immagine compromessa e di dover riconoscere le proprie debolezze o responsabilità.
Bug bounty e introduzione nei sistemi informatici: cosa dice la legislazione
L’articolo 615 ter del Codice Penale italiano annuncia dure sanzioni anche solo per chi tenta di introdursi in un sistema informatico telematico, prevedendo ulteriori e maggiori pene per chi distrugge o danneggia un sistema o i dati in esso contenuti.
Analoghe norme sono contenute nei codici penali di altri paesi.
Ecco perché la figura del White Hat deve essere in qualche modo tutelata e salvaguardata da questi provvedimenti.
Chiaramente vengono definiti dei limiti ben precisi entro cui essi possono agire ed esistono delle prassi internazionali che regolano l’attività di scoperta delle vulnerabilità dei sistemi, definita Coordinated Vulnerability Disclosure – detta anche CVD.
Una volta che un White Hat individua le debolezze di un sistema, a seconda degli accordi, può renderle pubbliche e condividerle con i diretti interessati. Vengono quindi fatte presenti le problematiche emerse durante i controlli ai sistemi e, contestualmente, vengono spesso proposti tutti i provvedimenti idonei a risolvere le anomalie riscontrate. Si tratta di problematiche molto varie che possono andare da un grave difetto già nella fase di programmazione fino alla più semplice password che risulta troppo vulnerabile.
In ambito europeo nel 2004 è stata istituita l’Agenzia dell’Unione Europea (ENISA) al fine di coordinare gli stati membri a mantenere un alto livello di garanzia della cybersicurezza soprattutto per mantenere alta l’attenzione e essere pronti a nuove sfide, così da essere in grado di reagire immediatamente alle minacce create da criminali informatici nei confronti della sicurezza interna.
L’ENISA ha pubblicato ultimamente un rapporto delle politiche degli Stati Membri in materia della divulgazione coordinata delle vulnerabilità (CVD) e ha formulato delle raccomandazioni. Il compito dell’ENISA è di armonizzare e coordinare l’operato dei vari Stati Membri sviluppando apposite linee guida e creando banche dati apposite sulle vulnerabilità riscontrate.
Nei numerosi rapporti presentati dall’ENISA, vengono anche rappresentati i danni economici causati dalle violazioni alla sicurezza informatica.
Non tutti gli Stati membri hanno adottato le CVD, pertanto, spesso la figura del White Hat non è ben definita oppure ben tutelata dal punto di vista professionale e legislativo.
Una situazione incerta e particolare che mette in difficoltà questi professionisti anche dal punto di vista economico: diventa complicato riconoscere le ricompense ottenute per bucare un sistema, seppur in buona fede. È anche vero che viene posta una sempre maggiore attenzione sul tema, dagli esperti di sicurezza.
Gli aggressori, che possiamo definire Black Hat, sono sempre di più e chiunque possa aiutare nell’individuare eventuali falle in un sistema può essere di grande aiuto per una organizzazione.
Esempi di bug bounty
Uno dei programmi di bug bounty con un budget maggiore è quello presentato da The Graph, ove le ricompense possono variare da 5 mila dollari per bug di bassa gravità sino a 2.5 milioni di dollari per i bug di gravità critica.
Per citare un altro esempio recente, la Libra Association, il soggetto chiamato a gestire il progetto poi naufragato della criptovaluta di Facebook, ha lanciato un programma di bug bounty per testare la solidità dei propri sistemi di sicurezza. In un primo tempo limitato solo ad una cinquantina di soggetti scelti a priori e poi aprendolo a tutti: chiunque, da ogni parte del mondo, poteva cimentarsi a cercare falle e tentare di accedere in un sistema destinato a movimentare i pagamenti di oltre due miliardi di persone.
Libra Association metteva in palio ben 10 mila dollari per ciascun bug trovato al fine di eliminare le fragilità e rendere il sistema sempre più inviolabile.
Per questo come per tutti gli altri programmi bug bounty, rimane però un dubbio irrisolto: in caso di individuazione di un bug, siamo certi gli hacker lo avrebbero denunciato ed incassato i 10 mila dollari oppure se lo sarebbero tenuti per loro per poi approfittarne in un secondo momento?
È difficile avere una risposta certa.
Per quanto riguarda i settori che utilizzano questa metodologia di tester dei sistemi sono i più svariati: si va dalle automotive, alla logistica e all’e-commerce ma anche molti siti istituzionali ne fanno uso.
Resta poi un ulteriore aspetto da non sottovalutare.
Le campagne di bug bounty attirano spesso l’attenzione di utenti più o meno esperti e fanno sì che si inneschi un passaparola tra web user.
È facile immaginare come questi programmi possano essere usati anche come armi di visibilità. Riprendendo una frase del celebre Dorian Gray di Oscar Wilde “c’è solo una cosa al mondo peggiore di far parlare di sé ed è il non far parlare di sé”.
Alla fine, dunque, l’importante è che se ne parli.
Onorato Informatica
Onorato Informatica Srl è un’azienda specializzata in Sicurezza Informatica da oltre 15 anni. LA nostra società ha sede a Mantova, Parma, Milano e Los Angeles. Siamo certificati ISO 901 e ISO 27001. Siamo esperti di Vulnerability Assessment, Penetration Test e nella difesa delle aziende dagli attacchi informatici.
Se sei interessato a scoprire tutti i buchi di sicurezza del tuo sistema informatico, contattaci.
- Autore articolo
- Ultimi articoli
Difendo le imprese e semplifico la vita all’IT manager con un servizio di sicurezza informatica che garantisce le attività aziendali 24 ore su 24, 7 giorni su 7.
Sono l’interlocutore ideale per le aziende di produzione industriale con più di 50 dipendenti, con responsabile informatico interno e consapevoli che la sicurezza informatica sia un valore con cui tutelano i clienti.
La volontà di proteggere imprese, dati e persone, mi ha fatto fondare Onorato Informatica, azienda con più 15 anni di attività, oltre 4500 clienti e più un milione di attacchi informatici sventati.
La passione per il mio lavoro mi porta spesso ad essere chiamato come relatore in eventi formativi sul tema della sicurezza informatica presso associazioni di imprese, di professionisti e università.