In un mondo ideale, ogni azienda avrebbe un software impeccabile. Niente buchi. Nessun bug. Ermetico. Ma nel mondo reale, ogni azienda ha delle vulnerabilità che, se non rilevate, possono minacciare la sicurezza, anche delle stesse società di cybersecurity. Ecco perché Jaya Baloo, Chief Information Security Officer (CISO) di Avast, ha rilanciato il programma Avast Bug Bounty, con un nuovo look, nuove regole e una nuova Hacker Hall of Fame.
“Puoi trovare così tante cose solo da solo”, dice Baloo. “Quello che vuoi in un mondo ideale è fornire software che non abbia problemi; che sia semplicemente perfetto nella prima esecuzione dei tuoi test. Ma non è sempre possibile. Non siamo perfetti. “
Le regole del bug bounty sono piuttosto semplici: usa il modulo di invio per inviare una descrizione dettagliata del bug, dove l’hai trovato esattamente, e qualsiasi codice pertinente. Il primo ricercatore a segnalare un bug ottiene la ricompensa, che parte da $ 400 e aumenta in base alla gravità del bug, potenzialmente fino a migliaia di dollari per segnalazione. E se provi a sfruttare il bug da solo o a esporlo pubblicamente? Nessuna ricompensa per te.
“Il programma bug bounty utilizza il potere della comunità”, afferma Baloo. “E francamente trovo giusto che paghiamo per lo sforzo profuso dal ricercatore di sicurezza per trovare la vulnerabilità e segnalarcela.”
Sebbene Avast sia interessato a conoscere le vulnerabilità nei prodotti che utilizziamo, ma che non sono costruiti da noi, quelli non prevedono una ricompensa e dovrebbero essere segnalati al Coordinated Vulnerability Disclosure Program. Ecco una rapida panoramica dei tipi di bug che la prevedono:
Esecuzione di codice da remoto
Escalation dei privilegi locali
Denial-of-service (DoS)
Alcuni bypass dello scanner
Per maggiori informazioni su ciascuno di questi puoi controllare le regole del Bug Bounty.
Baloo ha anche creato una Hacker Hall of Fame per riconoscere pubblicamente gli hacker etici che stanno aiutando Avast a proteggere sia i prodotti Avast che il sito web stesso. (C’è anche la possibilità di rimanere anonimi, per i cacciatori di taglie che preferiscono lavorare nell’ombra.)
“Si tratta di dare credito dove è dovuto”, dice Baloo. “Stiamo cercando di rendere il mondo più sicuro e se le persone ci aiutano a farlo, vogliamo riconoscerlo”.
Baloo voleva anche che il nuovo sito avesse un aspetto completamente nuovo, sottolineando il fatto che “i ricercatori di bug bounty sono fantastici e il lavoro che fanno è davvero significativo”. A tal fine, il sito presenta immagini di fantascienza che vogliono essere un richiamo ai più famosi cacciatori di taglie nella cultura nerd: quelle che si trovano in Star Wars e The Mandalorian.
L’obiettivo del nuovo programma di bug bounty di Avast non è solo proteggere il sito e i prodotti Avast, ma anche contribuire a rendere il mondo digitale più sicuro per tutti. E per questo abbiamo bisogno del tuo aiuto.
“Dicci cosa trovi”, dice Baloo. “Siamo davvero, davvero grati.”
Lascia un commento