Il settore della cyber security è vasto e molto eterogeneo. Un insieme di specializzazioni e competenze delle più diversificate, tanto che parlare di “cyber security” alludendo a un’unica occupazione è fuorviante.
All’interno di questo variegato mondo di professioni e attività, oltre a quelle più celeberrime come penetration test, monitoraggio, awareness e via dicendo, ve ne sono alcune un po’ meno strombazzate che godono del rispetto che si rivolge a ciò che si conosce poco o per nulla. Tra queste, di sicuro, vi è il bug hunting.
Come si impara la cyber security: ecco le nozioni di base necessarie
Indice degli argomenti
Cos’è il bug hunting
Certo, non si tratta di un oggetto misterioso. Più o meno tutti sanno, infatti, è che per bug hunting ci si riferisce a quell’attività nella quale si analizzano software e hardware a caccia di vulnerabilità che potrebbero essere sfruttate in modo malevolo dai criminali informatici che se ne appropriano.
In base al tipo di vulnerabilità rilevata, alla tecnologia dove è presente, e al rispettivo produttore, il cacciatore di bug viene poi remunerato in modo più o meno sostanzioso. Il tutto crea un circolo virtuoso nel quale vi sono professionisti molto specializzati che impiegano le loro giornate lavorative ad analizzare codice, dispositivi, sviluppare exploit e tentare di applicarli per trovare conferma alle proprie intuizioni. E nel caso tutto funzioni alla perfezione, si fa per dire, ecco arrivare il lauto compenso. Che si spera provenire da chi ha interesse a risolvere quella data vulnerabilità, anche se le cose non sempre vanno così.
Andare subito a caccia
Riferendosi ovviamente al bug hunting etico, partiamo col dire che ci sono varie possibilità di carriera. La più semplice è quella di iscriversi a programmi di bug hunting e iniziare subito a lavorare. Il livello di competenza richiesto, tuttavia, è medio-alto: i programmi di bug hunting richiamano alcuni dei migliori talenti sul mercato e il rischio è che arrivino per primi a scovare le vulnerabilità meglio ripagate.
Il concetto, infatti, per chi non lo sapesse, è che chi organizza campagne di bug hunting stila una sorta di tariffario con le ricompense, molto variabili a seconda del livello della vulnerabilità scovata. Per esempio, Apple Security Bounty è una delle campagne meglio remunerate, con ricompense che arrivano a un milione di dollari.
Google è meno generosa, forse perché offre molti più servizi del colosso di Cupertino e, quindi, il numero potenziale di vulnerabilità è maggiore. Qui, le ricompense possono toccare i 30.000 dollari, anche se in alcuni casi si può dare il via a una contrattazione e spuntare cifre molto più consistenti. Microsoft? Si contende i bug hunter migliori con la rivale Apple, e anche in questo caso si arriva a un milione di dollari.
Esistono piattaforme che si propongono come intermediari tra chi propone campagne di bug hunting e bug hunter: la più celebre è HackerOne ed è un’ottima palestra per crescere, sfidare sé stessi e puntare a vulnerabilità sempre più critiche.
Bug hunting: cosa c’è da imparare
Va chiarito, comunque, che scovare queste vulnerabilità è una vera e propria impresa, che richiede mesi, se non anni, di duro lavoro, e competenze di altissimo livello. Motivo per cui, salvo che il bug hunting sia il proprio hobby e ragione di vita, e gli si dedichi molto tempo, conviene farsi le ossa con una carriera più strutturata. Carriera che, ça va sans dire, parte da una formazione ad hoc.
In realtà, le competenze per approcciare al mondo del bug hunting partono da basi piuttosto classiche, per il settore della cybersecurity. Linux, e la sua conoscenza approfondita, è un requisito essenziale, così come l’architettura delle reti, con particolare riferimento ai protocolli dei vari layer del modello OSI, per passare poi alla conoscenza approfondita di web e web app.
A meno che si voglia considerare anche il bug hunting hardware, che tuttavia richiede molta più preparazione, a questo punto è bene imparare a programmare a buon livello, a meno che si sappia già farlo.
Qui i pareri su quale sia il linguaggio migliore sono discordanti, ma per chi inizia il consiglio è di puntare a Python e Go, che possono contare su una semantica semplice, un’enorme quantità di librerie e una certa vocazione proprio all’hacking etico, che dopotutto è il principio su cui si basa in bug hunting. Per chi ha più coraggio e volontà, Perl, C e assembly rappresentano un plus che ripaga lo sforzo.
Strutturata una solida base con queste competenze, il passo successivo consiste nell’affrontare in modo diretto l’arte del bug hunting. Ci sono ottimi libri che lo spiegano e tra i migliori vale la pena citare Bug Bounty Essential di Carlos Lozano e Shahmeer Amir, Bug Hunting for Penetration Testers di Joseph Marshall e Real-World Bug Hunting di Peter Yaworski.
Ovviamente non mancano canali YouTube dedicati, ma l’unico che mostri ogni aspetto del bug hunting come professione, con tutti i suoi pro e i suoi contro, è quello dell’eccellente Farah Hawa.
L’importanza della pratica
Il bug hunting, ancor più che altre specializzazioni della cybersecurity, richiede tanta, tantissima pratica. Se è vero che le nozioni di base devono essere solide e comprese in ogni dettaglio, è altrettanto vero che il bug hunting richiede sperimentazione, intraprendenza e pazienza, perché capita molto spesso di “inseguire” un bug, per poi accorgersi che è un fuoco di paglia, o che qualcuno, nel frattempo, lo ha già scoperto.
Per questa ragione è essenziale imparare in fretta a fare delle valutazioni economiche sulla propria attività: spesso conviene puntare alla ricerca di tante piccole vulnerabilità, che a quella milionaria. E nel frattempo guadagnare esperienza.
Quanto si guadagna
A proposito di guadagni: quali sono quelli a cui si può realmente aspirare? Le cifre variano molto in base ai soggetti, all’impegno e, perché no, anche alla fortuna.
Non mancano, però, professionisti pronti a condividere i propri numeri. Uno dei più celebri è Anton “Skavans” Subbotin, che racconta di aver guadagnato, negli ultimi tre anni di lavoro, 558.000 dollari. Rispettivamente 91mila nel 2019, 229mila nel 2020 e 252mila nel 2021.
Lo stesso Subbotin, tuttavia, ci tiene a precisare di non entrare in questo settore solo per una questione economica: farlo senza avere alcun interesse reale si tramuta, inevitabilmente, in un’esperienza disastrosa.
Per avere successo, nel bug hunting come in qualsiasi altra professione, occorre divertirsi ed essere appassionati.
