La guida

Bug Bounty: cosa sono e a cosa servono i programmi che mettono una “taglia” sulle vulnerabilità

La ricerca di vulnerabilità è da sempre una priorità per chiunque si occupi di cyber security. D’altro canto, concedere ai criminal hacker il vantaggio di scoprire per primi un bug potrebbe esporre a rischi con impatti devastanti. Vediamo come le aziende si difendono attivando il proprio programma di bug bounty

24 Mag 2022
F
Dario Fadda

Research Infosec, fondatore Insicurezzadigitale.com

Si chiamano bug bounty programs e sono quelle iniziative portate avanti da enti e aziende di tutto il mondo che prevedono una ricompensa per la segnalazione di eventuali vulnerabilità nei software e nei sistemi informativi.

La ricerca delle vulnerabilità, infatti, è da sempre uno degli aspetti più ambiti dai criminali informatici, proprio per poterle sfruttare a loro vantaggio. In questo senso le aziende, al fine di farsi trovare maggiormente preparate, ricorrono sempre di più all’investimento di parte del loro patrimonio in programmi di affiliazione tramite i quali si viene ricompensati per aver scoperto e segnalato una nuova vulnerabilità prima che venga sfruttata in maniera malevola.

Questi programmi che mettono una “taglia sulla testa” della vulnerabilità, ormai sono diffusi in tutto il mondo e tutte le più grandi aziende ne fanno uso per migliorare la propria sicurezza.

Si tratta di un investimento economico, che però risulta essere conveniente per l’azienda e per coloro i quali, in possesso delle capacità informatiche necessarie, vogliano mettersi in gioco. Spesso vengono pagati dei premi, come ricompensa, abbastanza allettanti e più aumenta la difficoltà (quindi la resilienza dei sistemi aziendali) nel trovare vulnerabilità, più aumenta la taglia messa in palio.

Va detto che questa taglia, pur identificandosi in un esborso economico da parte dell’azienda, non sarà mai una perdita soprattutto per il motivo che, se una vulnerabilità venisse scoperta dai criminali informatici prima di essere risolta (e quindi sfruttata), il danno che ne deriverebbe potrebbe portare a perdite economiche sicuramente superiori.

A caccia di vulnerabilità: la professione del bug hunter

I programmi di bug bounty più ambiziosi

Analizziamo, quindi, i principali programmi di bug bounty per capire di cosa si tratta e come funziona il meccanismo delle ricompense per la scoperta di una vulnerabilità.

WHITEPAPER
Efficienza, sostenibilità e sicurezza con la gestione e tenuta dei libri sociali digitali
Dematerializzazione
Digital Transformation

N26

In Italia viene pubblicizzato come la “Caccia al tesoro per gli hacker” ed è il bug bounty relativamente recente di N26, società finanziaria che ha messo in atto un programma di ricerca delle vulnerabilità esteso a chiunque voglia farne parte. Va detto che questo programma non espone pubblicamente i compensi, che verranno invece accordati di volta in volta a seguito delle segnalazioni ricevute.

Intel

Il programma di bug bounty Intel mira a cercare vulnerabilità sia in hardware (dall’analisi dei firmware) che in software. È un progetto ormai consolidato e riconosce un minimo di 500 dollari fino ad un massimo di 30mila dollari a seconda della gravità della vulnerabilità scoperta.

Cisco

Il noto produttore di apparati di rete Cisco offre una ricompensa variabile tra i 100 e i 2.500 dollari nel suo programma di ricerca per le vulnerabilità, rivolto a persone o aziende in grado di riconoscere problemi di sicurezza nei propri prodotti.

Apple

Il colosso tecnologico statunitense pagherà fino a 200.000 dollari per problemi riscontrati sui firmware dei propri prodotti hardware. Il programma di bug bounty di Apple è storico e inizialmente era ristretto ad una cerchia specifica di ricercatori.

Ora, invece, il progetto si è ampliato e aperto al grande pubblico, offrendo anche programmi specifici a seconda del risultato da ottenere. In effetti ora si offre fino a 100mila dollari per chiunque riesca ad esfiltrare dati dalla tecnologia Secure Enclave.

Microsoft

La società di Redmond ha recentemente alzato la posta sui propri programmi di bug bounty, offrendo maggiori ricompense ma affinando la ricerca alle sole vulnerabilità considerate critiche. Non è una novità recente per Microsoft affidare i propri investimenti in programmi di ricerca vulnerabilità, il suo primo bug bounty viene lanciato nel 2014.

Microsoft offre da 15.000 ai 250.000 dollari per una segnalazione di bug nei propri prodotti.

I bug bounty dei social network

La ricerca di vulnerabilità, come detto, interessa le aziende più differenziate ,e all’evoluzione tecnologica, seguono nuovi programmi anche per la scoperta dei bug. L’enorme diffusione dei social network, ovviamente, non esclude anche questo settore merceologico del mondo hi-tech.

Snapchat

Il team di sicurezza di questo social offre la possibilità di esaminare le segnalazioni su nuove vulnerabilità rilevate e a seconda della gravità offre una ricompensa variabile tra i 2.000 e i 15.000 dollari.

Meta/Facebook

Un’offerta aperta a tutto il gruppo aziendale Meta, quindi i ricercatori interessati potranno concentrare i propri sforzi su qualsiasi prodotto del gruppo.

Interessando WhatsApp, Instagram, Facebook, Atlas ecc, quello di Meta è un programma di bug bounty molto ampio e l’azienda pagherà un minimo di 500 dollari ma senza un massimo prefissato. Questo sottolinea l’importanza alla sicurezza informatica che l’azienda rivolge, nel tempo Facebook ha organizzato veri e propri tornei con obiettivi di hacking etico.

Twitter

Il social network, oggi al centro della scena pubblica a seguito dell’acquisizione da parte di Elon Musk, offre un programma di ricerca per problemi di sicurezza con ricompense che vanno dai 140 ai 15.000 dollari.

Il programma è aperto a tutti e coinvolge tutti i servizi che l’azienda offre.

Linkedin

Anche il social network “dei lavoratori” incoraggia persone e aziende alla segnalazione di bug e problemi di sicurezza nuovi riscontrati. Va detto però che si tratta di segnalazioni che verranno considerate in privato e non rende noto né un importo minimo né quello massimo per l’eventuale ricompensa.

Bug bounty per le applicazioni di sicurezza

Open SSL

Anche per quanto riguarda Open SSL, organizzazione aperta e non lucrativa, il comitato direttivo ha aperto un programma di ricerca di vulnerabilità rivolto a tutti. Possiamo anche ricordare tutti quanto siano importanti eventuali bug all’interno di questa tecnologia, proprio per il fatto che produce sistemi facilmente integrabili pressoché ovunque: router, modem, dispositivi mobili, server web, VPN, solo per citare alcune applicazioni di Open SSL. Un impatto sulle supply chain altissimo, dunque, che sicuramente ha contribuito all’istituzione di un programma di ricerca ben remunerato.

Si promette infatti di offrire tra i 500 e i 5000 dollari per un’importante scoperta di sicurezza che coinvolga il protocollo per comunicazioni criptate più popolare al mondo.

Avast

Il programma di ricompensa del noto antivirus premia gli hacker etici e i ricercatori di sicurezza per segnalare l’esecuzione di codice remoto, l’escalation dei privilegi locali, attacchi DoS e gli altri problemi.

Si offre da 400 a 10.000 dollari in base alla gravità della scoperta, con un programma accessibile da qui.

I bug bounty per società di sviluppo software

GitHub

Uno dei più storici programmi di bug bounty, attivo dal 2013, offre ricompense tra i 200 e i 10.000 dollari, per la ricerca di vulnerabilità senza che nessuno prima ne abbia mai sfruttato le potenzialità.

Ha una sezione del sito dedicata a questo programma, raggiungibile da qui.

PHP

Anche il noto linguaggio di programmazione rivolto al web, ha il suo programma alla ricerca di hacker etici in grado di scoprire nuove vulnerabilità.

Offre una ricompensa tra i 500 e i 1.500 dollari.

Il progetto è gestito da questo link, nel quale è possibile trovare tutti i riferimenti e le regole.

Perl

Perfettamente in linea con il programma di PHP anche Perl offre il suo bug bounty, con ricompensa tra i 500 e i 1.500 dollari, a seconda della gravità riscontrata.

Conclusioni

Rimane interessante notare come sempre più aziende, ma anche organizzazioni senza scopo di lucro, forniscano ricompense per la ricerca di vulnerabilità. Sintomo di una grande (e giustificata) paura all’exploit che, come noto, causerebbe problemi e danni ben maggiori di tali ricompense, qualora sfruttato da criminali informatici.

Infine, una delle risorse sicuramente da sottolineare è BugCrowd, un portale che fa ricerca e censimento di tutti i programmi di bug bounty attualmente in circolazione, presenti tra le aziende/organizzazioni sul mercato.

Il portale offre una lista, non commentata, ma esaustiva di tutti i riferimenti per ciascun programma di ricerca vulnerabilità attivo.

WHITEPAPER
Costruire una VERA DATA STRATEGY: machine learning, sicurezza e valorizzazione del dato.
Amministrazione/Finanza/Controllo
Big Data
@RIPRODUZIONE RISERVATA

Articolo 1 di 5