I programmi di bug bounty possono apportare grandi benefici alle aziende e sono utilizzati da alcune delle più grandi organizzazioni tecnologiche e governative del mondo.
Cosa sono i premi per l’identificazione dei bug?
Ogni azienda deve trovare e correggere difetti nei suoi prodotti o servizi. Man mano che il software diventa più complesso e ricco di funzionalità e integrato, diventa più difficile, se non impossibile, eliminare tutti i bug. Ora che gli utenti hanno accettato un ecosistema sempre online e sono abituati al patching in tempo reale di prodotti già rilasciati, le vulnerabilità del codice devono essere ricercate su base continua e individuate e risolte rapidamente per ridurre le minacce zero-day e proteggere i dati sensibili.
Questo può diventare un costo proibitivo per le aziende, in particolare le società di software più piccole e le startup, che avrebbero bisogno di un team dedicato alla ricerca di bug che operi continuamente e venga costantemente pagato. Poiché i bug che non possono essere trovati non possono essere corretti, questo team non fornirebbe alcuna garanzia di coerenza o efficacia. Potenzialmente, potrebbe non esserci alcun miglioramento del prodotto e nessun ritorno sui costi di assunzione del team.
Una soluzione è stata l’introduzione dei programmi di ricompensa dei bug. La ricompensa di un bug è un corrispettivo pagato a un ricercatore indipendente per la scoperta di un difetto, di solito nel software, ma anche nei processi di firmware, hardware e business. Maggiore è la probabilità e la facilità con cui i criminali possono sfruttare il difetto, più alto sarà il valore erogato. Nonostante ciò, dato che la remunerazione si verifica solo quando viene effettivamente trovato un difetto, si tratta di un modo economico di fare crowdsourcing nella ricerca di bug senza la necessità di di avere del personale interno dedicato a tale attività.
Il concetto di bug bounty ha successo. Centinaia e persino migliaia di bug sono stati corretti in singoli mesi. È diventato un sistema economico perfetto, con alcuni ricercatori di sicurezza che hanno come unica fonte di guadagno la ricerca di bug critici. Mentre alcuni programmi di bug bounty sono chiusi – limitati solo a ricercatori di sicurezza invitati o controllati – la maggior parte del denaro circola in programmi aperti, che offrono ricompense a chiunque scopra i bug.
Sistemi di ricompensa di bug
Piattaforme Bounty indipendenti
Molte organizzazioni gestiscono i loro premi per i bug tramite piattaforme di terze parti. Queste piattaforme forniscono servizi alle aziende che desiderano beneficiare di ricompense per i bug senza dover impostare e promuovere la propria infrastruttura da zero. Tali piattaforme forniscono una base utenti centralizzata di ricercatori sulla sicurezza, che aiutano le aziende a gestire i loro obiettivi di ricompensa e le politiche di divulgazione dei difetti trovati. Ci sono dozzine di piattaforme di bug bounty in giro oggi, ma due delle più grandi e influenti sono HackerOne e Bugcrowd . Esistono molte altre piattaforme, ma queste due sono considerate le più importanti nella comunità della sicurezza informatica di oggi.
HackerOne
HackerOne è probabilmente la piattaforma di bug bounty più numerosa, con oltre 600.000 ricercatori registrati a febbraio 2020. Gli hacker che utilizzano HackerOne sono stati pagati per un totale di oltre $ 80 milioni dalla fondazione dell’azienda nel 2012 ad oggi. HackerOne incoraggia spesso lo sforzo congiunto dei propri ricercatori per identificare le vulnerabilità di una specifica organizzazione attraverso la costruzione di eventi competitivi. L’attuale programma Hack the Pentagon, operato per conto del Pentagono, mostra quanto questo approccio possa avere successo. Addirittura un progetto pilota sperimentale limitato per il programma nel 2016 ha visto 200 segnalazioni di bug presentate entro le prime sei ore dal lancio del programma stesso.
Bugcrowd
La più affermata delle principali piattaforme di ricompensa, Bugcrowd incentiva i suoi ricercatori con sistemi di gamification e bonus. Offre sia ricompense finanziarie che riconoscimenti per gli utenti in base al numero di report validi che i singoli ricercatori possono produrre e a quanti bug critici scoprono. Bugcrowd utilizza anche la propria tassonomia delle minacce classificata in base alla priorità, consentendo una comunicazione chiara tra ricercatori e clienti e correzioni di errori decisivi. I guadagni complessivi per i ricercatori di sicurezza sono alti, con 1,6 milioni di dollari in premi che sono stati pagati nel solo mese di ottobre 2019.
Programmi aziendali
Alcune organizzazioni gestiscono i propri premi per i bug in modo indipendente, senza fare affidamento su piattaforme come Bugcrowd e HackerOne. Ciò è possibile per le grandi aziende che sono già note alla comunità degli hacker e ciò può attirare l’attenzione dei ricercatori sulla sicurezza senza assistenza di terze parti.
Il programma di bug bounty di Google, chiamato Vulnerability Reward Program, è stato lanciato nel 2010, rendendo Google una delle prime aziende a offrire premi a ricercatori indipendenti. Il programma copre i domini Google, YouTube e Blogger, sebbene vari tipi di vulnerabilità non siano coperti dal programma. L’anno scorso, Google ha stabilito un record nei pagamenti di premi totale, con oltre 6,5 milioni di dollari elargiti nel 2019. Grazie all’aumento dei pagamenti massimi su vari prodotti e servizi Google, il totale delle ricompense ha superato i 21 milioni di dollari.
Apple
Il programma di bug bounty di Apple, chiamato Apple Security Bounty, era limitato nel campo di applicazione e a una squadra chiusa fino allo scorso anno. Prima di agosto 2019, non includeva i dispositivi MacOS ed era fortemente limitato per numero di ricercatori che vi potevano partecipare. Ciò ha portato alcuni hacker a decidere di sfruttare le vulnerabilità anziché segnalarle. L’ampliamento del programma ha inoltre aumentato la ricompensa massima – per le vulnerabilità che consentono a un utente malintenzionato di ottenere il controllo remoto completo e persistente di un dispositivo mobile Apple – a $ 1 milione, che rappresenta potenzialmente il maggior pagamento al mondo su una singola vulnerabilità.
L’Unione Europea
L’UE fornisce un caso insolito di un programma semi bounty indipendente che opera anche con l’assistenza di HackerOne e di altri programmi bounty bug. Anziché rivolgersi a qualsiasi tipo di software proprietario, l’UE ha offerto ricompense di bug su open source e software libero dal gennaio dello scorso anno, nell’ambito del progetto FOSSA (Free and Open Source Software Audit). A differenza di molti altri programmi che sono attivi a tempo indeterminato, questi premi sono frutto di progetti a tempo limitato ai quali qualsiasi hacker etico può contribuire, operando con il supporto di varie piattaforme di premi.
Avast
I servizi che mantengono gli utenti al sicuro anche dalle più recenti minacce emergenti devono rimanere al passo con qualsiasi problema e vulnerabilità. Il programma Avast Bug Bounty è pubblicamente aperto, tranne che ai dipendenti Avast e alle persone a loro vicine, e copre quasi tutti i prodotti Avast su PC, Mac e dispositivi mobile. Con un pagamento massimo di $ 10.000 per bug, aiutare Avast a mantenere il livello di protezione che i suoi utenti si aspettano può diventare qualcosa di davvero gratificante.
Guadagnarsi da vivere
È possibile che gli hacker etici si guadagnino da vivere esclusivamente con l’identificazione di bug e quelli che ci riescono possono effettivamente intascarsi parecchi soldi. Nel 2019, sei degli hacker registrati su HackerOne hanno guadagnato oltre $ 1 milione ciascuno. Ma questo è solo un gruppo molto piccolo di hacker “superstar” d’élite. I dati suggeriscono che, a partire dall’inizio del 2019, anche l’1% dei primi ricercatori di sicurezza scopre in media meno di una vulnerabilità al mese e guadagna pagamenti annuali di poco meno di $ 35.000. Abbastanza per guadagnarsi da vivere, anche se non da diventare ricchi.
Il meglio che la maggior parte dei cacciatori di taglie può sperare è una piccola occasione per integrare il proprio stipendio. Sebbene i programmi di ricompensa abbiano un grande successo per le aziende, i red team dedicati alla caccia delle minacce e i ricercatori interni di sicurezza sono ancora ampiamente utilizzati dalle grandi aziende. Ciò significa che ogni cacciatore di bug compete non solo con altri cacciatori, ma anche con ricercatori di sicurezza professionisti a tempo pieno. L’IA e l’apprendimento automatico sono sempre più utilizzati nella ricerca di bug, riducendo ulteriormente le opportunità per il singolo cacciatore di taglie. Inoltre, i programmi di bug bounty hanno diversi difetti sia per i ricercatori che per le aziende.
Bug nei premi
Nelle mani degli hacker
Il primo problema è che i pagamenti delle ricompense sono interamente a discrezione dell’azienda interessata. In quasi tutti i casi, le politiche di ricompensa dei bug sono pienamente rispettate, con gli errori divulgati che vengono premiati tempestivamente. In rare occasioni ci sono ancora comunicazioni errate o risposte non etiche da parte delle organizzazioni, a discapito del ricercatore. Pur di non pagare sarebbe molto facile per un’azienda affermare che una vulnerabilità segnalata è stata scoperta internamente da un team interno e si stava solo aspettando una patch come motivo per non divulgarla.
Nel 2013, un hacker palestinese ha scoperto una vulnerabilità critica in Facebook e l’ha denunciata al team di sicurezza. Il team ha frainteso il rapporto e ha ritenuto che la vulnerabilità non fosse un bug. Cercando di agire in buona fede, l’hacker ha utilizzato la vulnerabilità per pubblicare dall’account di Mark Zuckerberg. Ciò ha comportato la correzione del difetto, ma Facebook ha sostenuto che il rapporto non era arrivato attraverso il programma di ricompensa dei bug e di conseguenza ha rifiutato il pagamento.
Uno scontro di incentivi
Il concetto di bug bounty si basa sull’incentivo finanziario per i ricercatori a essere i “bravi ragazzi” e di rivelare responsabilmente i difetti di sicurezza. Tuttavia, questi incentivi finanziari non possono sempre eguagliare il ricavo che se ne otterrebbe comportandosi da black hat. I premi per i bug incoraggiano gli hacker a cercare le vulnerabilità, ma una volta individuate il ricercatore può decidere tra divulgazione e sfruttamento. Se una vulnerabilità può portare a un guadagno di $ 100.000 quando viene venduta sul dark web o addirittura sfruttata direttamente, una ricompensa di $ 10.000 diventa poca cosa. In questi casi, solo l’etica personale dei singoli hacker determina la scelta dell’azione.
Le ricompense sui bug inoltre riducono l’incentivo per le aziende a rilasciare prodotti accuratamente testati; i team interni possono essere proibitivi in termini di costi e operare senza alcuna garanzia di individuazione degli errori anche quando esistono. I premi per queste segnalazioni consentono di rilasciare prodotti con tempi e spese di test notevolmente ridotti, basandosi sulla ricerca di sicurezza post-rilascio in crowdsourcing per correggere eventuali vulnerabilità. Anche se questo ha più senso economico per l’azienda, significa comunque rilasciare un prodotto potenzialmente vulnerabile, insieme a tutti i rischi per i consumatori che questo comporta.
Nessun sistema può essere perfetto; se potessero, forse le ricompense per l’identificazione dei bug non sarebbero necessarie. Nonostante questi problemi, questi premi hanno ancora un enorme successo nel ridurre le vulnerabilità e premiare i ricercatori per lavori importanti.
Lascia un commento