Nuove opportunità per cacciatori di taglie: Google annuncia l’Open Source Software Vulnerability Program

Quando sentiamo dire che la sicurezza informatica è nelle mani di tutti noi, il primo pensiero che solitamente viene in mente è quello di responsabilità ma, raramente, quello dell’opportunità.

Nel merito, stiamo parlando di bug hunting, ovvero quell’attività che coinvolge security researchers e volontari da tutto il mondo e che consiste nell’andare a caccia di bug, per l’appunto, per soddisfazione personale, portfolio di carriera ma anche un ritorno economico che, nei casi migliori, può raggiungere cifre interessanti.

Stiamo ovviamente parlando di un genere di attività del tutto legale e, anzi, sponsorizzata dalle stesse aziende che vogliono mettere alla prova la loro sicurezza tramite dei veri e propri bounty programs con i quali sono stabiliti dei precisi termini in ambito di compensi ma anche e soprattutto di scope, ovvero dei vincoli precisi su cosa si è autorizzati a testare e dove.

Alcuni giorni fa, Google ha annunciato un ulteriore bounty program nel cui ambito sono presenti note tecnologie open-source come Golang, Angular e Fuchsia, il nuovo sistema operativo di cui avrete già sentito parlare, ma la lista non termina qui e, anzi, include una lunga serie di tecnologie e API open source di Google i cui dettagli sono consultabili alla pagina dedicata.

Veniamo, però, alla domanda per cui siete qui: di che cifre stiamo parlando, esattamente?

Sebbene questo genere di attività non sia di facile improvvisazione, per chi dovesse averne le competenze e la creatività necessaria per cogliere ciò che è sfuggito agli esperti in-house dell’azienda, stiamo parlando di cifre che, almeno per l’appena discusso programma Google OSS VRP, spaziano dai 100 ai 31.337 dollari (eh no, la cifra non è casuale).

Se 31 mila dollari per ogni submission valida dovessero sembrarvi pochi, la stessa Google offriva già un programma che ha, come ambito d’interesse, il kernel Linux, oggetto centrale della sicurezza di Internet tutta dal momento che esso è utilizzato sulla maggior parte dei server, e le cui rewards arrivano a 133.337 dollari nel caso in cui la vulnerabilità che si è trovata soddisfi dei requisiti di severità molto precisi, come ad esempio l’essere sfruttabile anche sul kernel Linux più recente e il bypassare anche le mitigazioni sperimentali messe in essere da Google stessa su un kernel da loro customizzato.

Chi bramasse cifre ancora più alte o fosse interessato ad altri tipi di tecnologie, sarà ben lieto di apprendere che programmi di questo genere non si limitano a Google ma ad aziende di ogni tipo, anche del calibro Microsoft e Spotify, Apple e una lunga lista che è possibile consultare in portali di aggregazione come HackerOne o BugCrowd.

La stessa Apple mette sul banco cifre che toccano il milione di dollari per le vulnerabilità peggiori, ovvero quelle sfruttabili da remoto che non richiedono alcun tipo di intervento da parte della vittima (chiamate anche zero-click) e che offrono persistenza ai reboot.

Vi starete chiedendo: che succede se si dedicano diversi mesi a uno o più bounty program ma non si riesce a trovare alcuna vulnerabilità, oppure quella che si trova non è ‘papabile’ per un motivo o l’altro?

E’ proprio questo il dilemma perchè come s’intuisce, si tratta di un tipo di attività altamente imprevedibile e la risposta, purtroppo, è quella che immaginate: se non si dovesse ottenere alcun risultato tangibile, non si riceverà alcun compenso per il tempo impegnato, indipendentemente da quanti giorni, mesi o anni si siano spesi nella ricerca.

Insomma, non una passeggiata di salute e, in aggiunta all’incertezza di cavarne un solo dollaro, si è in competizione con tutto il resto del mondo o quasi, ma l’idea che c’è dietro è sicuramente un punto di incontro interessante tra aziende e talento e ha permesso di incrementare la sicurezza aziendale a una frazione di quanto sarebbe costato un pentesting fatto su scale così grandi.

Si tratta di lavorare aggratis o di un’interessante opportunità?

E’ una sentenza che, ognuno di voi, darà in modo diverso, ma il dato di fatto è che il numero di aziende che investe in bounty programs negli ultimi 10 anni è aumentato, così come la loro sicurezza, in una situazione cyber che, come annunciavamo qualche settimana addietro, in questo periodo storico è ben poco rosea.

Tags: , ,