Ormai siamo abituati a essere circondati da dispositivi di ogni tipo, così come a usare software, applicazioni e servizi digitali di ogni genere. Tutti noi possediamo uno smartphone (solo in Italia ci sono 80 milioni di dispositivi), così come abbiamo almeno una televisione smart a casa. E per chi lavora in un’azienda o come freelancer da casa, usare il computer è ormai diventato obbligatorio per gestire molte attività quotidiane.
Considerato tutto ciò, tutti noi siamo sicuramente incappati più volte nei cosiddetti bug: errori che comportano il malfunzionamento di un software o addirittura la chiusura inaspettata durante l’utilizzo. In certi casi i bug causano anche il blocco del software o del sistema operativo, costringendo l’utente al riavvio del dispositivo.
I bug sono un fastidio enorme per gli utenti che usano un programma, ma rischiano anche di diventare delle vulnerabilità che potrebbero venire sfruttate da dei malintenzionati. Per questi motivi, le aziende fanno sempre il possibile per cercare e risolvere i bug nei loro software, affidandosi a delle figure professioniste nel settore del bug hunting.
Le piattaforme di Bug Bounty per andare a caccia di bug
Il bug hunting è un campo molto delicato: questi controlli qualità del software avvengono sia durante la creazione stessa di un software, sia prima del rilascio ufficiale e proseguono sempre nelle fasi successive al lancio del prodotto sul mercato. Infatti, in tutti quei casi, eventuali bug e altri problemi vengono risolti tramite aggiornamenti e patch per il software.
Ma oltre ad affidarsi a team interni, le aziende hanno anche l’opzione di iscriversi a una piattaforma per il bug bounty (la più famosa è Bugcrowd) e creare il proprio programma, come il programma bug bounty di ExpressVPN, che dispone della ricompensa più alta mai offerta sulla piattaforma di Bugcrowd.
Ogni azienda deve specificare vari dettagli del proprio programma prima di poterlo lanciare su una piattaforma di bug bounty. Per esempio, deve essere specificato l’obiettivo del programma: quali tipi di bug si devono cercare? Che tipi di test e attacchi informatici si possono fare ai prodotti, servizi e server delle aziende che partecipano?
Esistono delle limitazioni che possono variare da programma a programma: infatti, per compiere tutti i test necessari per cercare bug o provare le misure di sicurezza, bisogna avere il consenso legale dell’azienda e quindi bisogna sempre seguire le regole del programma di bug bounty. Quando poi vengono individuati bug o vulnerabilità, devono essere riportate tramite la piattaforma.
A seconda del tipo di bug o vulnerabilità individuata e validata dall’azienda, si riceve un pagamento diverso (le cifre sono disponibili fin dall’inizio nel programma bug bounty dell’azienda). Di base, più è alta la gravità del problema scoperto, più grande sarà l’importo del pagamento. Grazie a questi programmi e ricompense, singoli esperti di cybersecurity, programmatori o anche hacker etici, possono partecipare a queste sessioni di bug hunting per andare a caccia di bug e anche ricompense proprio su piattaforme come Bugcrowd.
I vantaggi del bug hunting per aziende e professionisti della cybersecurity
Ogni azienda che opera nel digitale sa bene quanto sia importante rimuovere il maggior numero possibile di bug dai propri programmi, software e servizi. Per ogni bug che impedisce l’uso corretto del prodotto venduto, l’azienda subisce un danno di immagine e anche un danno economico in certi contesti (specialmente se il bug rende impossibile l’accesso al software o l’uso di determinate funzioni).
Inoltre, alcuni bug possono tramutarsi in vulnerabilità zero-day: ovvero possono venire sfruttate da gruppi di malintenzionati per sottrarre dati agli utenti che usano il software colpito dal bug o addirittura colpire l’azienda stessa produttrice del software o del servizio digitale. Considerati già i danni economici del phishing e dei ransomware con i quali hanno a che fare le imprese, le azienda fanno sempre il possibile per eliminare il più alto numero di bug dai propri prodotti.
Ecco perché oltre ad avere team interni dedicati al controllo qualità dei software, così come team di cybersecurity sempre attivi per proteggere l’integrità dei server e reti aziendali, sempre più imprese si affidano alle piattaforme di bug bounty. Come spiegato, grazie a queste piattaforme, le aziende possono accedere a diverse figure esperte di cybersecurity o programmazione.
Singole figure esperte che possono garantire un maggiore livello di sicurezza per le aziende e soprattutto svolgere la funzione di un occhio esterno sulla qualità dei programmi e software sviluppati. E proprio queste figure possono avere grossi plus dal partecipare a questi programmi.
Non si parla infatti solo di potenziali pagamenti per i bug o vulnerabilità scoperte. Riuscire a individuare questi problemi per conto delle aziende, potrebbe portare a una buona pubblicità per la propria figura (spesso le aziende condividono i dettagli di chi ha scoperto bug e vulnerabilità sui propri canali aziendali). Infine, esiste sempre la possibilità che l’azienda rimanga impressionata dal lavoro svolto e possa proporre una collaborazione più continuativa con il singolo esperto.
