Il tema della sicurezza informatica è un argomento che si sta affermando con prepotenza negli ultimi anni; le ragioni di ciò risiedono essenzialmente nella grande diffusione di internet e nel sempre maggior numero di persone connesse on-line, con la conseguenza che si assisterà a una crescita esponenziale degli attacchi informatici e, allo stesso tempo, a una sempre maggiore raffinatezza degli stessi. Per le aziende, dunque, è essenziale testare costantemente i propri sistemi informatici al fine di individuare e risolvere in modo tempestivo eventuali vulnerabilità o bug all’interno degli stessi. Tra le attività che è possibile implementare per tutelare la sicurezza rientrano i programmi di Bug Bounty.
Cos’è un Bug Bounty Program?
Il Bug Bounty è un programma che prevede delle ricompense per chi riesce a trovare un bug nei sistemi aziendali. Esso è aperto a tutte quelle persone che, forti di un solido background informatico, vogliano esplorare un preciso perimetro definito dall’azienda e di conseguenza cercare di individuare eventuali falle presenti in esso. Si tratta, in questo caso, di un hacking etico che non crea danni. ma che, anzi, li previene segnalandoli prima che essi possano concretizzarsi.
Dove è possibile aderire a un programma Bug Bounty?
Esistono solide piattaforme che ospitano programmi Bug Bounty, uno di questi è BugCrowd, si tratta senza dubbio di uno dei siti più noti a cui si sono rivolti giganti del settore come VISA, Amazon, Tesla e eBay.
Tra i suoi punti di forza va evidenziato un progetto gratuito e open sourse, BugCrowd University, volto a fornire le conoscenze necessarie a diventare un bug hunter esperto, capace, attraverso una linea di pensiero non convenzionale, di scovare quelle circostanze che potrebbero far funzionare un’applicazione in modo non corretto. Nella sua biblioteca sono presenti una vasta selezione di contenuti che vanno dagli argomenti più semplici a quelli più sofisticati e utili per trovare i bug più critici.
Programma Bug Bounty di ExpressVPN
ExpressVPN è una società che ha lo scopo di proteggere la privacy e la sicurezza online degli utenti attraverso il Virtual Private Network (VPN). In questa prospettiva è fondamentale per la società che i software VPN e i suoi sistemi corrispondano agli standard di privacy e sicurezza che vengono garantiti ai propri clienti; e, a tal fine, essi sono sottoposti a rigorosi test sia interni che esterni. E, proprio ad implementazione di questi ultimi, è stato ideato un Programma Bug Bounty di ExpressVPN con lo scopo di cercare possibili buchi. Questo è ospitato sulla piattaforma BugCrowd, dove è già attivo da diversi anni e nel corso dei quali ha premiato numerosi cacciatori. La novità introdotta nella nuova edizione è il ricco premio di 100.000 dollari, una delle ricompense più alte su BugCrowd. Un incentivo decisamente importante che da una parte evidenzia la grande fiducia nella sicurezza di ExpressVPN in TrustedServer dall’altra mette in luce il costante impegno della società nel tutelarla.
Come avviene la partecipazione a un Programma Bug Bounty?
Ogni azienda crea un proprio programma a seconda del motivo che l’ha spinta ad avviare la ricerca dei bug e in considerazione di ciò viene redatto un preciso regolamento a cui i partecipanti sono tenuti ad attenersi. L’attività di ricerca, infatti, prevede che essa sia svolta all’interno di un prodotto altrui e il rispetto delle regole evita qualsiasi implicazione legale.