Nel 2022, gli ethical hacker, attraverso programmi di bug bounty, hanno scoperto più di 65.000 nuove vulnerabilità. Forse, la migliore descrizione di cos’è il bug bounty sta proprio qui: una caccia forsennata a individuare, prima dei criminali informatici, nuove vulnerabilità in software e sistemi informativi, attraverso campagne che stimolano e fanno emergere il duro lavoro degli hacker etici.
Andrea Nadelle, Security Solutions Architect di UNGUESS, piattaforma leader nel settore del bug bounty, rincara: “Il bug bounty dà visibilità a tutte quelle persone (ricercatori indipendenti che non sono né pen tester autorizzati né personale interno di un’azienda), che vogliono segnalare dei bug di sicurezza con la prospettiva di guadagnare del denaro, pur senza avere contatti, clienti e competenze in materia burocratica”.
Indice degli argomenti
Bug bounty: radici antiche
Il bug bounty, quindi, è una sorta di ritorno alle origini dell’hacking: studio delle applicazioni, test, giorni se non settimane o mesi di ricerca e tentativi, per finire con la scoperta degli agognati errori di programmazione che minano la sicurezza di svariate tecnologie.
Tuttavia, tra competenze necessarie e quantità di lavoro richiesto, per ottenere i risultati migliori i ricercatori ci si devono dedicare a tempo pieno. Ed è qui che il bug bounty risolve il problema della remunerazione, come spiega Nadelle: “Nel bug bounty si assegna una vera e propria taglia ai bug, la cui scoperta viene ripagata in base alla loro gravità, descritta in un’apposita tabella”. E aggiunge: “Dobbiamo questo modello a Google, che lo sviluppò una quindicina di anni fa”.
Anticipare il black market
Nadelle si riferisce alla versione moderna del bug bounty, ma in realtà un’edizione pionieristica la si ritrova anche nelle cronache informatiche del 1983: all’epoca, gli sviluppatori del sistema operativo Versatile Real-Time Executive offrivano un’auto Volkswagen Beetle (“bug”, appunto) a chiunque individuasse qualche errore di programmazione al suo interno.
Da allora, sono cambiati i bug bounty e anche chi vi partecipa, con dinamiche annesse. “Oggi si rischia che i bug scoperti vengano venduti nel black market; quindi, tanto vale intercettarli tramite bug bounty con ricompense adeguate”, sottolinea Nadelle. Al punto che tutti i colossi tecnologici, ormai, vantano appositi programmi bug bounty, sempre più allargati, curati e attrattivi.
Blackhat VS ethical hacker, una questione di tempo
Del resto, anche aziende più piccole, che non possono permettersi la gestione di un programma bug bounty, oggi possono contare su piattaforme specializzate che consentono loro di creare e organizzare, con facilità, i propri programmi di caccia ai bug. Una caccia che, prima o poi, interessa qualsiasi azienda che abbia a che fare col mondo informatico. L’esperto di UNGUESS precisa: “Il bug bounty è necessario perché ripropone un modo di lavorare molto simile a quello di un criminale informatico. Per certi versi anche più simile rispetto a un penetration test, perché un hacker blackhat, esattamente come un ethical hacker coinvolto in un bug bounty, ha a disposizione molte settimane per fare ricerca e individuare le vulnerabilità da colpire”.
Bug bounty: il profilo del cacciatore
Questo spiega, del resto, perché il profilo di chi partecipa a un bug bounty è del tutto simile a quello di un classico hacker. Andrea Nadelle chiarisce, infatti, che non necessariamente servono titoli o lauree specifiche, ma passione per la sicurezza informatica, la voglia di studiare e di mettersi in discussione e tanta esperienza sul campo. “Ci sono tanti casi di persone che magari sapevano programmare e che, su queste basi, si sono interessate all’argomento e hanno divorato ogni contenuto che ne parlava, per poi mettersi in gioco e trasformare il bug bounty in carriera”, precisa l’esperto.
Anche dall’altra parte, quella delle aziende che beneficiano del bug bounty, il profilo non è ben delineato, tanto che Nadelle fa prima a dire per quali aziende il bug bounty non è prioritario: “Diciamo che non lo consiglierei a una startup, che ha ben altre priorità, di solito. Il bug bounty è più sulle corde di aziende con una certa solidità, disposte ad allocare un budget variabile”. Su questo punto, Nadelle spiega che, per come sono strutturati i bug bounty, si deve tenere conto che il budget varia in base a quante vulnerabilità vengono scoperte, sebbene sia possibile impostare un valore massimo da non superare.
Il bug bounty in crowd
Il budget, del resto, non è l’unica scelta da fare, quando si pianifica un bug bounty. Come suggerisce l’esperto di UNGUESS, occorre innanzitutto capire qual è il perimetro di rete che si vuole mettere a disposizione: rete interna? C’è un dominio web integrato? Ci sono dispositivi mobile? E poi, come si vuole sviluppare il bug bounty? Con un programma pubblico o aperto solo a una nicchia di professionisti?
Ci sono molte variabili da considerare, per avviare un bug bounty di successo, che porti un valore aggiunto tangibile a un progetto di sicurezza informatica. Ed è proprio per questo che tutte quelle imprese prive di risorse per avviare un bug bounty, oggi, possono contare su piattaforme come quella di UNGUESS, capace di prenderle per mano e seguirle per tutto il processo di creazione della campagna.
A quel punto, l’azienda può beneficiare di un servizio che, a conti fatti, risulta, oltre che più economico, anche più efficace di un penetration test svolto, ad esempio, due volte l’anno. Nadelle chiosa: “Il paradigma è quello del pay-per-result per il bug bounty e del pay-per-time per il penetration test: il primo è un test continuo nel tempo, e non circoscritto a un periodo come nel secondo caso, che, grazie a un modello “crowd” come quello della piattaforma UNGUESS, viene svolto da un’intera comunità di ethical hacker, garantendo competenze più ampie, maggiore efficienza e affidabilità”.
Contributo editoriale sviluppato in collaborazione con Unguess
