Aggiornamenti recenti Luglio 26th, 2024 2:16 PM
Ago 04, 2016 Marco Schiaffino Approfondimenti, Mercato, Prodotto, RSS, Vulnerabilità 0
I programmi di bug bounty sono ormai uno strumento indispensabile per le società informatiche che vogliono garantire la sicurezza dei loro prodotti. A differenza dei normali programmi di debugging, infatti, consentono di coinvolgere una platea più vasta di ricercatori, offrendo una ricompensa a chiunque individui e segnali un problema di sicurezza.
Un sistema che si richiama (almeno in parte) a una filosofia “open” e che negli ultimi anni ha permesso a molte aziende di ottenere migliori risultati nella “caccia al bug”.
Le società di sicurezza informatica, però, li adottano raramente. Un atteggiamento che sembra legato, più che altro, all’idea di voler mantenere quanto più possibile riservate le tecnologie (e le debolezze) dei loro prodotti. Ora, però, le cose stanno cambiando e non solo per volontà delle aziende coinvolte.
Se da un lato la bontà della formula è ormai fuori di dubbio, dall’altra la strategia di cercare di lavare i panni sporchi in casa propria si scontra con il fatto che decine di ricercatori indipendenti eseguono continue analisi anche sui prodotti antivirus.
Offrire una ricompensa in denaro per ogni bug individuato significa poter contare su centinaia di ricercatori all’opera.
A dimostrarlo sono le recenti notizie riguardanti possibili vulnerabilità in numerosi prodotti antivirus (di cui si dovrebbe sapere qualcosa di più preciso proprio in questi giorni) o il caso del bug individuato nei prodotti Symantec dal Project Zero Team di Google.
Una delle prime aziende del settore a battere questa strada con una certa convinzione è Kaspersky, che ha annunciato in questi giorni l’avvio del suo programma pubblico.
“In un panorama delle minacce sempre più complesso, i programmi bug bounty sono ormai essenziali per le aziende di sicurezza IT, per scoprire eventuali vulnerabilità software senza mettere in pericolo i propri clienti” spiega a SecurityInfo.it Morten Lehn, General Manager di Kaspersky Lab Italia.
“In questo modo, non è solo possibile garantire un costante miglioramento della protezione offerta, ma anche stringere e rafforzare le relazioni con esperti di sicurezza esterni all’azienda”
Le parole del Manager di Kaspersky confermano quindi l’idea che anche le società di sicurezza possono ottenere notevoli vantaggi nell’apertura alla collaborazione con collaboratori indipendenti.
Morten Lehn, General Manager di Kaspersky Lab Italia.
“In qualità di sviluppatori di soluzioni di sicurezza IT, comprendiamo l’importanza di implementare qualsiasi misura potenzialmente efficace per rafforzare le nostre difese dalle minacce informatiche” prosegue Lehn.
“È per questo motivo che abbiamo già condotto un programma bug bounty in versione beta accessibile solo su invito e, visto il successo ottenuto, abbiamo deciso di aprire il programma a tutti. Il nostro programma bug bounty si inserisce quindi all’interno dell’approccio olistico di Kaspersky Lab per migliorare continuamente la resilienza dei propri prodotti”.
Il programma avviato da Kaspersky e affidato alla piattaforma HackerOne avrà in questa fase una durata di 6 mesi e un budget di 50.000 dollari. Le ricompense per l’individuazione delle vulnerabilità dipenderanno dalla tipologia: sono previsti 1.000 dollari per i bug collegati all’escalation dei privilegi a livello locale, 2.000 per quelli relativi alla possibile compromissione dei dati sensibili degli utenti o a falle che permettono l’esecuzione di codice in remoto.
Lug 24, 2024 0
Lug 17, 2024 0
Lug 11, 2024 0
Lug 05, 2024 0
Lug 26, 2024 0
Lug 25, 2024 0
Lug 25, 2024 0
Lug 24, 2024 0
Lug 26, 2024 0
Parigi è al centro dell’attenzione mondiale per le...Lug 24, 2024 0
Il 19 luglio 2024 è una data che rimarrà impressa per...Lug 24, 2024 0
Con l’obiettivo di assicurare un adeguato livello di...Lug 23, 2024 0
Le password sono ormai universalmente riconosciute come un...Lug 23, 2024 0
Sembra un numero fin troppo elevato, ma è tutto vero:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Lug 26, 2024 0
Parigi è al centro dell’attenzione mondiale per le...Lug 26, 2024 0
Tanti videogiocatori si affidano ai cheat per avere più...Lug 25, 2024 0
I ricercatori di ESET hanno scoperto EvilVideo, una...Lug 25, 2024 0
Daggerfly, gruppo di cybercriminali cinesi conosciuto anche...Lug 24, 2024 0
Il 19 luglio 2024 è una data che rimarrà impressa...