SICUREZZA INFORMATICA

Crowdsourcing: l’intelligenza collettiva al servizio della cyber security

Il progetto WhiteJar applica il crowdsourcing ai processi di bug bounty: una community di hacker etici per individuare e correggere le vulnerabilità di software e piattaforme. Ecco i vantaggi per le aziende

25 Gen 2022
S
Marco Schiaffino

Giornalista

La ricerca e individuazione di vulnerabilità a livello software è una priorità della cyber security. La scoperta “precoce” di una falla di sicurezza consente infatti di correggerla prima che i pirati informatici siano in grado di sfruttarla e, in buona sostanza, aumentare il livello di sicurezza globale di tutti i servizi digitali. Il settore, per il momento, è una sorta di giungla con ricercatori freelance che si rapportano in maniera ben poco strutturata con le singole aziende o gli sviluppatori di software. Grazie alla filosofia del crowdsourcing, le cose potrebbero cambiare. “Con WhiteJar abbiamo creato una piattaforma che a oggi raccoglie centinaia di ethical hacker italiani” spiega Aldo Del Bo’, Head of Cybersecurity di WhiteJar. “Il nostro obiettivo è fare in modo che le loro competenze possano essere valorizzate, offrendo alle aziende un servizio di bug bounty estremamente efficace e professionale”. Il progetto è partito come un “sottoinsieme” della community di UNGUESS, che da tempo usa il modello del crowdsourcing online.

Un cambio di logica nei processi di bug bounty

L’iniziativa di WhiteJar rappresenta la creazione di una tra le prime piattaforme dedicate al bug bounty per le aziende in cui è previsto un rapporto stabile tra il cliente e il “fornitore di competenze”.

Un bel cambiamento rispetto al contesto attuale, in cui i programmi di bug bounty sono strutturati secondo una logica estremamente frammentata. Se è vero che molte aziende hanno previsto dei programmi specifici con tanto di procedure, requisiti e un tariffario per ricompensare i “white hat” che segnalano le vulnerabilità dei loro software, si tratta di un sistema decisamente perfettibile, in cui gli scricchiolii si ripetono incessantemente da anni.

I casi di cronaca in cui i ricercatori lamentano mancati pagamenti o preferiscono addirittura rendere pubbliche le vulnerabilità a causa di una scarsa fiducia nell’affidabilità delle aziende, infatti si stanno moltiplicando. “Il nostro compito è quello di fare da interfaccia tra i tanti ethical hacker freelance e le imprese” spiega Aldo Del Bo’. “Al tempo stesso, sfruttando il crowdsourcing diamo la possibilità ai ricercatori di collaborare tra loro e offrire, in questo modo, un servizio migliore”. Il tutto all’interno di un contesto in cui ci sono regole chiare e la certezza di essere retribuiti adeguatamente.

I vantaggi del crowdsourcing per gli ethical hacker

Partiamo proprio dalla prospettiva degli esperti di sicurezza che scelgono di partecipare alla piattaforma.

I vantaggi, spiega Del Bo’, non si limitano al poter contare su un’organizzazione strutturata, ma comprendono anche altri aspetti come la possibilità di accedere a un ambiente in cui migliorare le competenze attraverso una formazione continua.

La fase di recruiting, affidata a un “Ethical Hacker Leader” che valuta le certificazioni dei candidati che vogliono iscriversi a WhiteJar, prevede anche la sottoscrizione di un documento in cui sono fissati i principi etici a cui si ispira la piattaforma. “Nell’ambiente degli white hat è ben radicata la consapevolezza di partecipare a un processo che rende il mondo digitale più sicuro per tutti” conferma del Bo’. “Questo non significa che il loro lavoro venga visto come volontariato, ma esiste una componente etica estremamente forte”.

Dimostrazione indiretta di questa analisi è anche il fatto che gli stessi hacker sono coinvolti nella fase di sviluppo delle patch che permettono di correggere le vulnerabilità individuate.

I vantaggi del crowdsourcing per le aziende

Rispetto agli schemi classici del bug bounty, lo schema adottato da WhiteJar punta su una vera e propria “attivazione” nell’analisi dei sistemi. In altre parole, la ricerca non è affidata all’intuizione o all’iniziativa di un singolo, ma viene gestita in maniera attiva. “La community è organizzata in cluster sulla base delle specializzazioni degli ethical hacker nei diversi settori” spiega Del Bo’. “Questo significa che se l’azienda opera per esempio in ambito automotive, i ricercatori che si occuperanno di scovare le vulnerabilità avranno competenze specifiche nel settore”.

Da un punto di vista dei risultati, inoltre, questo tipo di attività consente un salto anche a livello qualitativo nell’individuazione delle vulnerabilità. Il processo viene avviato definendo un budget predefinito, in cui ogni vulnerabilità individuata (e verificata) va a confluire. Oltre a garantire una sostenibilità economica all’azienda, lo schema porta a individuare un maggior numero di falle rispetto allo schema tradizionale. Se, infatti, i normali processi di bug bounty finiscono di solito per individuare solo le vulnerabilità critiche, per le quali sono previsti compensi più elevati, in questo modo è più facile che emergano anche quelle falle di sicurezza “minori” che in un’ottica di cyber security rischiano di essere trascurate o ignorate fino al momento in cui un pirata informatico non le sfrutta per un attacco.CLICCA QUI per scaricare il White paper: "Hacker Etici - Porta la cyber security a un nuovo livello"

Un processo di evoluzione culturale

Le ricadute sull’ecosistema della cybersecurity di questo modello sono certamente interessanti, ma richiederanno uno sforzo di adeguamento, soprattutto da parte delle aziende.

Se dalle parti di WhiteJar hanno le idee estremamente chiare su come funzioni la filiera della sicurezza, nel mondo dell’impresa c’è da scommettere che alcuni aspetti possano richiedere un po’ di adattamento, per lo meno su due aspetti. Il primo è quello relativo ai tempi di sviluppo, distribuzione e implementazione delle patch.

Nel tradizionale bug bounty, infatti, la segnalazione è diretta allo sviluppatore del software, è corredata da una deadline (solitamente di 60 o 90 giorni) e prevede in ogni caso la pubblicazione dei dettagli nel momento in cui l’aggiornamento è disponibile, in modo che chi usa lo stesso software possa mitigare il rischio di un attacco nelle more dell’aggiornamento.

Si tratta di una prassi consolidata, che punta a favorire la messa in comune delle conoscenze e aumentare il livello di sicurezza complessivo dei sistemi digitali. In una filiera come quella descritta, gestire in maniera corretta tutti questi aspetti non dipende tanto dai white hat (che hanno ben presente come muoversi) quanto dalle aziende. La stessa disponibilità di piattaforme come WhiteJar, si spera, può rappresentare un impulso in questo senso.

Contributo editoriale sviluppato in collaborazione con UNGUESS

@RIPRODUZIONE RISERVATA

Articolo 1 di 2