Programma Bug Bounty per potenziare la sicurezza informatica

Probabilmente già conoscete il termine “bug” (e ne avrete anche incontrati un paio), ma sapete cos’è un programma Bug Bounty e chi sono i bug hunter? La parola bug sta ad indicare un problema in un software, dovuto ad un errore di scrittura del codice da parte dei programmatori.

È normale, dopotutto siamo umani: sviste, errori di calcolo o di logica, possono capitare a chiunque. Ecco perché durante la programmazione software esiste sempre uno step definito “debugging”, ovvero la ricerca di errori nel codice del software.

Ma nemmeno i migliori sviluppatori al mondo o le più grandi società informatiche riescono ad individuare e risolvere tutti i bug prima di rilasciare al pubblico il proprio software o prodotto. Infatti, molte volte ci troviamo costretti a scaricare delle “patch” per aggiornare il software.

Ma come vengono individuati tutti questi bug dopo che un prodotto viene rilasciato sul mercato? Scegliere un programma di bug bounty diventa una delle soluzioni migliori, anche per chi vuole diventare un bug hunter ed avere la possibilità di lavorare nel settore delle sicurezza informatica.

Bug Hunting & Cybersecurity: ecco come funziona un programma bug bounty

Furti di identità online e accessi non autorizzati ai propri account, carte di credito clonate, indirizzi email compromessi: difendere la privacy online è una vera sfida al giorno d’oggi. Ma il concetto di identità online ormai fa parte della nostra identità personale, proprio come dice Harold Li, Vicepresidente di ExpressVPN, una delle migliori VPN per l’Italia.

“Non condividiamo il nostro estratto conto bancario perché non vogliamo che altre persone conoscano per filo e per segno tutti i nostri acquisti. Montiamo tende di ogni tipo e colore alle finestre per evitare che gli estranei possano sbirciare in casa nostra. Se teniamo così tanto alla privacy personale, perché non dovremmo essere altrettanto attenti per proteggere la nostra privacy online?”

Salvaguardare la nostra identità online significa proteggere i nostri dati personali quando navighiamo su Internet e quando utilizziamo software di qualsiasi tipo. Se nel primo caso possiamo affidarci a servizi come ExpressVPN, nel secondo caso dobbiamo affidarci alla qualità dei software e programmi che usiamo quotidianamente.

Le società hanno molte frecce nella loro faretra per garantire un alto livello di sicurezza informatica, così come molte risorse per testare i propri prodotti. Debugging, versione beta di un prodotto, beta testing: i mezzi a disposizione sono tanti, tra cui però spiccano anche i programmi bug bounty.

Bugcrowd è probabilmente il portale di bug bounty più famoso al mondo. Qui tutte le attività di bug hunting, ovvero la ricerca dei bug nei servizi, software, hardware o siti delle società, si basa interamente sul crowdsourcing. Potete trovare anche la stessa ExpressVPN su Bugcrowd, con un programma pensato per rinforzare ulteriormente la sicurezza dei propri servizi.

Un programma bug bounty su Bugcrowd funziona in questo modo:

• Qualsiasi società può aprire il proprio programma Bug Bounty (su Bugcrowd ci sono società del calibro di Tesla, MasterCard, TripAdvisor)
• Termini e condizioni vengono mostrati per ogni singolo programma bug bounty, incluse le regole per il “safe harbor”, ovvero tutte le regole da rispettare quando si conducono le ricerche di vulnerabilità e bug
• Quando si scovano dei bug o vulnerabilità nel software/hardware/servizio di una società, bisogna inviare una segnalazione con tutti i dettagli nel rispettivo programma bug bounty
• A seconda della gravità del bug scoperto, si viene ricompensati in denaro e anche punti per la piattaforma Bugcrowd

Il ruolo del Bug Hunter per risolvere bug

Portali come Bugcrowd permettono a chiunque di partecipare ai programmi di ricerca bug e vulnerabilità. Sono disponibili programmi bug bounty di svariate tipologie e ogni mese ne vengono introdotti di nuovi. Esistono programmi aperti a tutti gli utenti della piattaforma, così come programmi riservati solo ai bug hunter più esperti.

L’esistenza di questi programmi diventa un grosso vantaggio per tutti: dalle società fino ai singoli esperti di sicurezza informatica che partecipano ai programmi. E anche per tutti noi, utenti finali di servizi e software.

Le società infatti, possono così contare su una schiera di “bug hunter”, esperti e professionisti, che testano quotidianamente il livello di sicurezza e qualità dei propri programmi. Chi invece partecipa ai programmi bug bounty, può mettere alla prova le proprie abilità all’interno della comunità di Bugcrowd, venendo anche pagato per tutte le vulnerabilità riscontrate (con pagamenti in media nel range di €100 – €10.000).

Noi utenti finali invece, ci ritroviamo ad utilizzare software sempre più sicuri e privi di rischi per la sicurezza. Anche perché i bug sono sempre dietro l’angolo, e spesso rimangono nascosti per anni prima di essere scoperti, mettendo a repentaglio dati personali e sicurezza degli utenti.

Per esempio, fece scalpore la notizia di Heartbleed: una falla di sicurezza nel sistema OpenSSL rimasta nascosta a lungo, ma che ha afflitto circa il 66% dei siti internet in tutto il mondo. Un motivo in più per le società per affidarsi ai programmi di bug bounty, un metodo innovativo per migliorare la qualità e sicurezza dei propri software.