Un
bug bounty
è una ricompensa che viene offerta da un’azienda o da un ente a chi trova e
segnala in modo responsabile una falla o un difetto informatico in un prodotto
di quell’azienda o ente. Questi premi servono per incoraggiare gli informatici a
cercare queste falle, con il risultato di migliorare la sicurezza del software
per tutti gli utenti.
Ovviamente l’informatico che scopre una vulnerabilità è tenuto a non rivelarla
a nessuno a parte l’azienda o ente che offre il bug bounty, in modo che
sia possibile correggerla prima che diventi nota e venga sfruttata.
Le Poste Svizzere offrono da pochi giorni uno di questi bug bounty, con
ricompense da 50 fino a 10.000 franchi. Non è la prima volta che lo fa, ma in
questo caso l’iniziativa è aperta a tutti, mentre in passato era accessibile
soltanto su invito.
Va notato, in particolare, che le Poste Svizzere offrono un
safe harbor, ossia un’immunità da conseguenze legali per chi effettua
test e indagini sui sistemi informatici seguendo le regole di un
bug bounty. Senza questa tutela giuridica, infatti, una violazione di
un sistema informatico sarebbe considerata un reato.
Per maggiori informazioni si può consultare la
pagina apposita
del sito delle Poste Svizzere, che porta a
yeswehack.com/programs/swiss-post, dove è riportato il regolamento del bug bounty e c’è anche una
hall of fame.
Le Poste
spiegano
di aver già trovato 500 vulnerabilità e di aver pagato circa 250.000 franchi
in ricompense da quando è stato lanciato il programma, che ha dimostrato di
essere efficacissimo, come
racconta in dettaglio Sandro Nafzger, responsabile del programma.
A chi non conosce il settore può sembrare strano, e persino immorale, che
un’azienda paghi profumatamente degli hacker per penetrare nei suoi
sistemi e mostrarne le falle. Ma i bug bounty costano molto, molto meno
di un test tradizionale svolto da professionisti e funzionano. Come
conseguenza non trascurabile, tengono i talenti informatici al riparo dalle
tentazioni del crimine organizzato.
Secondo i dati pubblicati di recente dalla società di sicurezza
Digital Shadows, infatti, le bande specializzate in reati informatici pagano cifre notevoli a
chi vende loro accessi a sistemi aziendali. Un semplice
initial access broker, ossia una persona che trova una falla in un
sistema ma non la sfrutta e invece la rivende ad altri, diventando l’equivalente
informatico di una persona che scassina una cassaforte e poi se ne va, lasciando
ad altri il compito di vuotarla e riciclare il bottino, può guadagnare in media
dai 7000 ai 9000 dollari. E questo genere di attacco è aumentato fortemente per
via del lavoro da remoto di molte persone durante questa pandemia.