Tutto il software presenta bug o difetti che causano problemi. Si va da problemi banali che non influiscono in alcun modo sulle prestazioni del software, a serie vulnerabilità di sicurezza.
I bug possono essere difficili da individuare, motivo per cui molte aziende tecnologiche hanno programmi di bug bounty. Ma cosa sono esattamente i programmi bug bounty? Come funzionano e come aiutano a migliorare la sicurezza di un prodotto?
Come funzionano i programmi Bug Bounty
Le aziende lanciano programmi di bug bounty per incentivare hacker col cappello bianco per cercare buchi di sicurezza e vulnerabilità simili nel software. In genere c'è un premio in denaro più che decente per coloro che scoprono un bug, non importa quanto insignificante possa sembrare alla persona media.
E non sono solo le piccole aziende emergenti ad avere programmi di bug bounty. In effetti, la maggior parte dei giganti della tecnologia li gestisce, inclusi Google, Microsoft, Facebook e Apple. I dettagli su questi programmi si trovano solitamente sul sito Web ufficiale di un'azienda. Il più delle volte, ci sono diversi livelli o categorie. Ma in linea di principio, più un bug è significativo, maggiore è la ricompensa.
Una volta che un hacker white hat scopre un bug, invia un rapporto di divulgazione dettagliato che spiega ciò che ha scoperto. Gli ingegneri dell'azienda quindi esaminano e indagano sulla presentazione e, se i risultati del ricercatore si rivelano accurati e utili, vengono informati e ricevono una ricompensa in denaro.
Questo sistema funziona sia per le aziende che per i ricercatori indipendenti. Dal punto di vista di qualsiasi azienda, è meglio che un hacker etico scopra un bug piuttosto che un attore di minacce, che molto probabilmente andrebbe a sfruttalo prima che venga rattoppato, causando potenzialmente milioni di danni. Gli hacker, d'altra parte, apportano una bella fetta di cambiamento partecipando a programmi di bug bounty: alcuni guadagnano persino entrate a tempo pieno scoprendo le vulnerabilità del software.
Esempi di programmi Bug Bounty che migliorano la sicurezza del software
È utile sapere come funzionano in teoria i programmi di bug bounty, ma diamo un'occhiata ad alcuni esempi reali di aziende che pagano ingenti somme agli hacker white hat.
In collaborazione con la piattaforma bug bounty Immunefi, la piattaforma decentralizzata blockchain bridge Wormhole ha lanciato nel febbraio 2022 un programma di taglie che offre 10 milioni di dollari a chiunque scopra una sicurezza critica insetto. Abbastanza presto, un hacker cappello bianco usando lo pseudonimo satya0x ne scoprì uno. Come ha spiegato Immunefi in a medio post, il bug avrebbe potuto bloccare i fondi degli utenti, quindi satya0x ha ricevuto $ 10 milioni per averlo rivelato.
Sempre nel febbraio 2022, lo scambio di criptovalute Base di monete ha pagato una taglia di bug di $ 250.000 a un ricercatore indipendente per aver scoperto un grave difetto nell'interfaccia di trading della piattaforma.
Laboratori Aurora, la società dietro la macchina virtuale Aurora Ethereum (ETH), ha pagato un'enorme taglia di 6 milioni di dollari nell'aprile 2022. Il denaro è stato assegnato a un hacker etico noto come pwning.eth, dopo aver scoperto una vulnerabilità che avrebbe consentito agli attori delle minacce di coniare una scorta infinita di criptovaluta Ethereum nell'Aurora motore.
Il colosso canadese dell'e-commerce Shopify, nel frattempo, ha battuto il proprio record nel 2021, quando i suoi pagamenti di taglia ammontavano a $ 1 milione. Quell'anno, la società ha ricevuto un totale di 3.000 segnalazioni di bug da parte di hacker white hat in tutto il mondo. In risposta, Shopify ha aumentato la sua taglia massima a $ 100.000.
Queste cifre possono sembrare assurdamente alte, ma in realtà non lo sono rispetto alla quantità di denaro e dati che i criminali informatici potrebbero altrimenti guadagnare scoprendo le vulnerabilità. Wormhole ha fissato una taglia di bug di $ 10 milioni solo dopo aver perso $ 320 milioni a causa di una violazione. Aurora Labs ha premiato un hacker dal cappello bianco perché $ 6 milioni impallidiscono rispetto alla perdita di $ 240 milioni valore di ETH, mentre Coinbase e Shopify probabilmente hanno risparmiato decine di milioni compensando diligente ricercatori.
I 5 migliori programmi Bug Bounty ad alto pagamento
Poiché le aziende in realtà risparmiano un sacco di soldi istituendo programmi di bug bounty gratificanti, c'è una serie di opzioni tra cui i ricercatori possono scegliere. Se ti capita di essere un hacker dal cappello bianco o vorresti diventarlo, ecco cinque programmi di bug bounty ben pagati da considerare.
Apple Security Bounty è uno dei programmi di bug bounty più famosi al mondo. I premi vanno da $ 5.000 per la scoperta di vulnerabilità della schermata di blocco, a $ 2 milioni per falle di sicurezza che consentirebbero a un attore di minacce di aggirare Protezioni della modalità di blocco. Tutto quello che devi fare per inviare una segnalazione di bug (che deve essere completa e dettagliata) è accedere con il tuo ID Apple.
Un altro popolare programma di bug bounty è gestito da Microsoft, che offre una vasta gamma di premi. Proprio come quello di Apple, il programma di Microsoft è suddiviso in dozzine di categorie diverse. Ad esempio, se scopri una vulnerabilità in Microsoft. NET framework, puoi aspettarti un pagamento fino a $ 15.000. Ma se ne scopri uno in Microsoft Hyper-V, potresti ricevere una ricompensa fino a $ 250.000.
Il programma Samsung Rewards è incentrato sui prodotti mobili dell'azienda. Ha politiche relativamente rigide, quindi assicurati di leggerle attentamente prima di inviare un bug. Inoltre, tieni presente che solo i bug che influiscono sulla sicurezza dei dispositivi Samsung vengono presi in considerazione dagli ingegneri dell'azienda. I premi vanno da $ 200 a $ 200.000.
Nel programma di taglie di Google Bug Hunters, i premi arrivano fino a $ 30.000. I cacciatori di bug, come vengono spesso definiti gli hacker white hat, possono segnalare bug in Gmail, YouTube, BlogSpot e altri servizi Google. Questo programma ha una comunità molto attiva e una propria università online, che può essere un'ottima risorsa per i ricercatori alle prime armi.
Il programma di taglie di Meta copre Facebook, Instagram, WhatsApp, Messenger e una serie di altri prodotti. Per essere preso in considerazione per una ricompensa (il minimo è di $ 500), è necessario trovare vulnerabilità che rappresentano un rischio per la sicurezza o la privacy e soddisfare requisiti chiaramente definiti. Tutti i rapporti validi ricevono una risposta. Se più cacciatori individuano lo stesso problema, la ricompensa viene assegnata alla prima persona che invia una segnalazione.
Programmi Bug Bounty: il meglio della sicurezza in crowdsourcing
I programmi Bug Bounty rappresentano il meglio della sicurezza in crowdsourcing. E non sono solo le aziende tecnologiche e i ricercatori di sicurezza informatica a trarne vantaggio, tutti, inclusi i consumatori.
Per alcuni, la caccia agli insetti è un hobby e per altri una carriera a tutti gli effetti. Se rientri in quest'ultima categoria, o aspiri, ci sono molti corsi online che vale la pena dare un'occhiata.
