Programmi di ricompensa per la vulnerabilità: uno sguardo ai loro approcci efficaci, tattiche discutibili e metodi assolutamente bizzarri
Nel panorama sempre mutevole della cybersecurity, i programmi di bug bounty si sono affermati come uno strumento cruciale per identificare e affrontare le vulnerabilità del software. Queste iniziative, che offrono premi in denaro ai ricercatori di sicurezza indipendenti per la scoperta di bug, hanno guadagnato una notevole popolarità negli ultimi anni.
Il concetto di programmi di bug bounty può essere fatto risalire ai primi anni 2000, con Netscape che ha avviato il primo programma commerciale tre decenni fa. Da allora, giganti della tecnologia come Google, Facebook e Microsoft si sono uniti al movimento, con Google che ha lanciato il suo programma nel 2010, seguito da Facebook nel 2011 e Microsoft nel 2013.
Le grandi organizzazioni spesso gestiscono i propri programmi di bug bounty a causa della sensibilità dei loro bug e della capacità di gestire i falsi positivi e gli accordi legali. Ad esempio, Microsoft's MSRC mantiene una classifica dei maggiori scopritori di difetti. D'altra parte, le piccole software house spesso esternalizzano i loro programmi di bug bounty a piattaforme come HackerOne o Bugcrowd a causa di vincoli di budget e mancanza di personale di sicurezza interno.
La moderazione AI viene sempre più utilizzata da queste piattaforme per filtrare i report di spam, mentre l'AI sta anche trovando più difetti, più velocemente. Tuttavia, crea anche molto rumore per i manutentori.
Nel mondo dei bug bounty, alcuni cacciatori di vulnerabilità sono diventati milionari. Microsoft ha pagato 17 milioni di dollari lo scorso anno ai ricercatori di sicurezza indipendenti, e un hacker può guadagnare 1 milione di dollari al contest ZDI's Pwn2Own per un attacco di esecuzione del codice remoto zero-click su WhatsApp. Le aziende corteggiano i ricercatori di vulnerabilità di alto livello con l'accesso agli ingegneri interni e forum esclusivi.
Tuttavia, il cammino non è sempre stato liscio. Nel 2005, un ricercatore chiamato Michael Lynn è stato servito con un'ordinanza restrittiva per una relazione prevista sui difetti del software del router Cisco IOS. Alcune aziende hanno fatto causa in passato a coloro che hanno trovato problemi con il loro software.
Per affrontare questi problemi, assumere pentester qualificati su base contrattuale è un'altra opzione per le piccole imprese. Questo approccio risolve il problema del NDA e fornisce un modo per ottenere i bug e pagare la commissione del finder con un minimo di confusione.
Inoltre, alcuni ricercatori di sicurezza presentano segnalazioni di bug non solo per guadagno finanziario, ma per garantire che le applicazioni e i processi siano sicuri. Sprague di HackerOne afferma che due terzi dei report che ricevono oggi "finiscono per essere vulnerabilità valide".
Di fronte a minacce cyber sempre crescenti, l'importanza dei programmi di bug bounty nella
Leggi anche:
- La natura offre un'ottima possibilità: il ruolo del mango per migliorare la digestione e rafforzare il sistema immunitario
- Le donne rurali danno nuova vita all'allevamento di asini, migliorando l'economia locale e introducendo una linea di prodotti per la cura della pelle a base di prodotti lattiero-caseari derivati da asini.
- L'ospedale di Thủ Đưc rivela il suo nuovo look
- Papa Francesco si trova in grave stato di salute .
