I bug bounty hunter stanano falle nella sicurezza e per di più vengono pagati. Così facendo, gli «hacker buoni» aiutano le aziende a migliorare la loro sicurezza IT. Ma non si tratta solo di soldi!
Testo: Andreas Heer, Immagini: Adobe Stock, 25
Le aziende investono una buona fetta del loro budget IT in misure di sicurezza allo scopo di proteggere dati, applicazioni e sistemi. Ammettendo che queste soluzioni di protezione funzionino, quanto è veramente resistente l’infrastruttura ai cyber attacchi? I test di sicurezza sono un buon metodo per scoprirlo. Attacchi mirati e intenzionali alla propria infrastruttura mostrano quanto essa è effettivamente sicura prima che veri criminali informatici colpiscano.
Simili attacchi controllati non possono essere eseguiti solo dai propri esperti di sicurezza. Coinvolgendo anche specialisti esterni, è possibile potenziare notevolmente il know-how disponibile e con esso valutare una più ampia gamma di possibili attacchi durante questi test di penetrazione. È proprio questo l’obiettivo dei cosiddetti programmi bug bounty, ossia concorsi con premi in denaro finalizzati a stanare le falle nella sicurezza.
Naturalmente questi attacchi devono svolgersi in un contesto definito anche in termini contrattuali. Da una parte, infatti, bisogna autorizzare questi attacchi e al tempo stesso proteggere i partecipanti. Dall’altra, l’azienda «aggredita» deve avere il tempo per risolvere le falle. Come ricompensa, i bug bounty hunter ricevono premi il cui ammontare può dipendere dall’impegno richiesto per arrestare un attacco e dalla gravità della falla individuata nella sicurezza. «I bug bounty ci aiutano a trovare e a eliminare i punti deboli che possono essere ancora presenti nonostante tutte le misure adottate», così Florian Badertscher, responsabile del programma bug bounty di Swisscom, spiega obiettivi e vantaggi.
Lo scorso anno Badertscher ha dovuto mettere mano al portafoglio più volte del solito. Ha versato infatti quasi 350’000 franchi ai partecipanti. Se non altro sono state risolte ben 400 falle. Ne è valsa sicuramente la pena. Infatti, i costi e i danni alla reputazione dell’azienda sarebbero stati ben più consistenti nel caso in cui qualche criminale informatico fosse riuscito a mettere a segno un attacco.
Ma chi sono questi bug bounty hunter, chiamati spesso anche «hacker buoni» o «white hats»? E cosa li spinge a partecipare a programmi di questo tipo? A rispondere due partecipanti al programma bug bounty di Swisscom. Uno di loro non corrisponde per nulla all’immagine che l’opinione pubblica ha di un «hacker» (un’espressione che parlando con queste persone non calza affatto): si tratta di Patrik Fábián, studente ungherese di 18 anni, che si presenta all’intervista in camicia e con un taglio di capelli molto corto. Lo scorso anno, grazie alle sue conoscenze e alle lacune individuate presso Swisscom, si è aggiudicato più di un terzo dell’intera somma messa in palio per il concorso Bounty. Il denaro ovviamente è un incentivo, ma non è la sola motivazione: «Posso aiutare le aziende a proteggere meglio i dati dei loro clienti, aspetto mai così importante come al giorno d’oggi.» Fábián, inoltre, offre a titolo onorario il suo supporto anche ai progetti open source per renderne più sicuro il software.
Discorso simile per Raphaël Arrouas: «Questa è un’opportunità per aiutare un’azienda a incrementare la propria sicurezza. E nel caso specifico di Swisscom si tratta anche dei nostri dati personali.» Arrouas, che ha iniziato la sua carriera lavorativa come tester professionista in esperimenti di penetrazione, ora lavora a tempo pieno come bug bounty hunter indipendente.
Per entrambi entra in gioco anche un altro fattore: lo stimolo delle sfide e la curiosità di scoprire falle e lacune. O, per usare le parole di Fábián: «Amo individuare nuove aree di attacco che nessuno prima d’ora aveva ancora utilizzato.»
Per Fábián, la parte più interessante di un programma bug bounty è la scoperta di falle nella sicurezza e la successiva comunicazione ai responsabili. Questo confronto è essenziale per favorire la fiducia tra i partecipanti e l’organizzatore e al tempo stesso determinante per la riuscita e l’accettazione di un programma di questo tipo. «Mi aspetto che i responsabili reagiscano rapidamente e da pari a pari», afferma Arrouas.
Il quale apprezza anche il fatto che la ricompensa economica non si basi solo sulla gravità della lacuna individuata ma anche che venga riconosciuto l’impegno profuso nell’individuarla. E naturalmente anche il fatto di essere apprezzato nella veste di scopritore della falla. «Questo mi aiuta a rinsaldare la mia reputazione». Arrouas rinuncia agli pseudonimi per i bug bounty: «Un tempo l’anonimato era d’obbligo al fine di ridurre il rischio di incorrere in un’azione penale, persino per i white hats. Al giorno d’oggi continua a essere importante per motivi di privacy, ma ora buona parte della community preferisce pubblicare articoli e vulnerabilità utilizzando il proprio nome reale, al fine di infondere fiducia e rafforzare la propria reputazione.»
Chi accede in maniera indebita a sistemi informatici altrui, commette un reato. Secondo quanto sancito nell’articolo 143bis del Codice penale svizzero (CP), questi crimini sono punibili con una pena detentiva fino a tre anni. Ecco perché è così importante che i programmi bug bounty prevedano una copertura giuridica che tuteli i partecipanti da azioni penali, come sottolinea Arrouas: «Siccome la legislazione svizzera è molto restrittiva, una clausola di salvaguardia nel contratto assicura la sicurezza necessaria e la fiducia.» Altrimenti si potrebbero scoraggiare i potenziali partecipanti. Una clausola di questo tipo protegge soprattutto i buoni, aggiunge Arrouas: «Che piaccia o no, i criminali informatici tentano in un modo o nell’altro di accedere ai sistemi.»
Questa copertura, inoltre, dovrebbe tutelare i partecipanti anche nel caso in cui si verificassero effetti collaterali indesiderati, come quando i sistemi vanno in crash. In ogni caso, Arrouas è molto prudente quando partecipa ai programmi bug bounty: «Conduco i tentativi di attacco manualmente e non in automatico», spiega. «Non vorrei mai, infatti, che per errore venisse rivelato qualche dato personale.»
Arrouas e Fábián sono entrambi convinti dell’utilità di questi programmi bug bounty per l’organizzatore: «Un simile crowdsourcing della sicurezza IT garantisce una protezione migliore e al tempo stesso rafforza la fiducia dei clienti.» Un programma bug bounty è anche un buon modo per far capire ai propri clienti che l’azienda ha a cuore la sicurezza IT.
Raphaël Arrouas
Di sicurezza informatica o, meglio, hackeraggio, Raffaël Arrouas se ne intendeva molto già da ragazzo. Durante gli anni dell’università, ha approfondito le sue competenze tecniche e ha lavorato poi come penetration tester. Da poco ha deciso di concentrarsi sulla sua attività in proprio come bug bounty hunter.
Patrik Fábián
Fábián inizia a «giocare» con i computer già in tenera età. Ha acquisito le sue conoscenze durante il tempo libero seguendo programmi online e guardando video su YouTube di Proof of concept (prove di come è possibile sfruttare le falle nella sicurezza). Terminata la formazione vorrebbe continuare a lavorare nel settore della sicurezza informatica, magari con una sua azienda per la sicurezza del web.
Maggiori informazioni