Per garantire la sicurezza in rete, le software house si impegnano in test rigorosi e invitano esperti esterni ad individuare dei possibili bug attraverso campagne di Bug Bounty. Cosa sono? E perché sono vantaggiose per tutti?


Bug Bounty è un'iniziativa proposta da sviluppatori e software house, che garantisce riconoscimenti e ricompense in denaro a chiunque (esperti e non) riesca ad individuare un bug e segnalarlo al suo creatore. Questa strategia permette alle aziende di individuare in maniera più efficace eventuali falle e prevenire problemi che potrebbero causare gravi danni di reputazione. Nel corso degli anni, anche colossi come Facebook, Microsoft, Google, Yahoo e Oracle hanno seguito questa strada per migliorare l'efficacia dei propri test e di recente si è aggiunto anche OnePlus, che ha deciso di offrire importanti ricompense per un lavoro di bug-hunting sui suoi sistemi.

Bug Bounty

Tutti gli ethical hacker (“White Hat”) che volessero mettersi alla prova e partecipare a questo genere di iniziative non devono far altro che consultare le piattaforme di Big Bounty. Fra le più conosciute figurano HackerOne, BugCrowd, SynAck, YesWeHack e OpenBugBounty, e su alcune di queste piattaforme è possibile trovare corsi di formazione per imparare ad individuare le vulnerabilità dei software. Sebbene le ricompense in denaro possano raggiungere cifre importanti, bisogna considerare quanto sia alto il costo di un Penetration Test da parte di un team di professionisti dedicato. E se nel Bug Bounty, gli hacker vengono retribuiti soltanto nel caso di individuazione di bug, nel Penetration Test gli esperti sono pagati indipendentemente dal risultato finale.

Bug Bounty hunter

Trascurare le vulnerabilità dei software può avere conseguenze molto negative per l’azienda e per i suoi clienti: i dati sensibili degli utenti potrebbero essere esposti e gli hacker (“Black Hat”) potrebbero aggirare i controlli di accesso in maniera più semplice. Al di là del danno di immagine, che sul mercato ha un peso piuttosto considerevole, ogni anno i bug causano perdite di denaro ingenti. Basti pensare che, nel 2002, il National Institute of Standards and Technology ha stimato una perdita di 59 miliardi di dollari solo in USA.

Questi errori sono causati da sviste nella scrittura del codice sorgente e talvolta i loro effetti sono trascurabili. Tuttavia, soprattutto per i programmi che gestiscono una mole elevata di dati, è bene monitorare costantemente la situazione ed effettuare il bug fixing tramite il rilascio di patch. Per farlo, è possibile rivolgersi a team di esperti o ricorrere al Bug Bounty, per risolvere i problemi prima che diventino di dominio pubblico.

Più volte, per esempio, ExpressVPN si è servita di programmi di Bug Bounty per individuare eventuali vulnerabilità software. L’azienda ha deciso di offrire su BugCrowd un premio da 100 mila dollari, una delle cifre più elevate per la piattaforma e che supera di 10 volte la ricompensa più elevata offerta da ExpressVPN. La prima persona che riuscirà a trovare una vulnerabilità nella sicurezza di TrustedServer si aggiudicherà questa grande somma di denaro. In realtà, ExpressVPN intende dimostrare quanto sia affidabile la sua architettura software, ricevere un feedback della community e sfruttare l’occasione per rendere il sistema ancora più sicuro. Chi vincerà il premio, avrà anche l’opportunità di lavorare con ExpressVPN per sviluppare soluzioni ancora più sicure che tutelino la privacy degli utenti.

Bug Bounty 100k

Tuttavia, occorre precisare che l’azienda ha fissato alcuni requisiti per aggiudicarsi la ricompensa. Vincerà, infatti, chiunque dovesse rilevare per primo un accesso non autorizzato a un server VPN, esecuzione di codice remoto, esposizione degli indirizzi IP dei clienti o capacità di monitoraggio del loro traffico.

TrustedServer è una tecnologia server VPN avanzata di ExpressVPN che garantisce la protezione della privacy degli utenti. Sostanzialmente, i server VPN sfruttano la volatilità della memoria RAM per cancellare i dati ad ogni riavvio. Infatti, qualora scrivessero sugli hard disk – così come la maggior parte dei server tradizionali - esporrebbero a maggiori rischi le informazioni dei clienti: i dati rimangono memorizzati su queste unità di memoria finché non vengono cancellati o sovrascritti, aumentando il rischio in caso di informazioni sensibili. Se un hacker dovesse riuscire a penetrare nel server, potrebbe installare una backdoor (un metodo per aggirare la normale autenticazione) e continuare ad utilizzarla per un tempo indefinito. ExpressVPN TrustedServer cancella informazioni e rimuove eventuali intrusi ad ogni riavvio del server, poiché la memoria RAM richiede energia elettrica per la conservazione dei dati.

TrustedServer

Tutte queste misure consentono agli utenti che utilizzano il servizio VPN di ExpressVPN di mantenere l’anonimato e continuare a navigare sul web in tutta sicurezza, senza esporre a rischi il proprio indirizzo IP o i dati di navigazione. L’iniziativa di Bug Bounty promossa dall’azienda rappresenta soltanto un’altra occasione per dimostrare l’efficienza e la sicurezza di ExpressVPN rispetto a qualsiasi altro software della categoria.

Google News
Le notizie e le recensioni di Notebook Italia sono anche su Google News. Seguici cliccando sulla stellina

Commenti