Aggiornamenti recenti Ottobre 2nd, 2023 2:00 PM
Ago 04, 2016 Marco Schiaffino Approfondimenti, Mercato, Prodotto, RSS, Vulnerabilità 0
I programmi di bug bounty sono ormai uno strumento indispensabile per le società informatiche che vogliono garantire la sicurezza dei loro prodotti. A differenza dei normali programmi di debugging, infatti, consentono di coinvolgere una platea più vasta di ricercatori, offrendo una ricompensa a chiunque individui e segnali un problema di sicurezza.
Un sistema che si richiama (almeno in parte) a una filosofia “open” e che negli ultimi anni ha permesso a molte aziende di ottenere migliori risultati nella “caccia al bug”.
Le società di sicurezza informatica, però, li adottano raramente. Un atteggiamento che sembra legato, più che altro, all’idea di voler mantenere quanto più possibile riservate le tecnologie (e le debolezze) dei loro prodotti. Ora, però, le cose stanno cambiando e non solo per volontà delle aziende coinvolte.
Se da un lato la bontà della formula è ormai fuori di dubbio, dall’altra la strategia di cercare di lavare i panni sporchi in casa propria si scontra con il fatto che decine di ricercatori indipendenti eseguono continue analisi anche sui prodotti antivirus.
Offrire una ricompensa in denaro per ogni bug individuato significa poter contare su centinaia di ricercatori all’opera.
A dimostrarlo sono le recenti notizie riguardanti possibili vulnerabilità in numerosi prodotti antivirus (di cui si dovrebbe sapere qualcosa di più preciso proprio in questi giorni) o il caso del bug individuato nei prodotti Symantec dal Project Zero Team di Google.
Una delle prime aziende del settore a battere questa strada con una certa convinzione è Kaspersky, che ha annunciato in questi giorni l’avvio del suo programma pubblico.
“In un panorama delle minacce sempre più complesso, i programmi bug bounty sono ormai essenziali per le aziende di sicurezza IT, per scoprire eventuali vulnerabilità software senza mettere in pericolo i propri clienti” spiega a SecurityInfo.it Morten Lehn, General Manager di Kaspersky Lab Italia.
“In questo modo, non è solo possibile garantire un costante miglioramento della protezione offerta, ma anche stringere e rafforzare le relazioni con esperti di sicurezza esterni all’azienda”
Le parole del Manager di Kaspersky confermano quindi l’idea che anche le società di sicurezza possono ottenere notevoli vantaggi nell’apertura alla collaborazione con collaboratori indipendenti.
Morten Lehn, General Manager di Kaspersky Lab Italia.
“In qualità di sviluppatori di soluzioni di sicurezza IT, comprendiamo l’importanza di implementare qualsiasi misura potenzialmente efficace per rafforzare le nostre difese dalle minacce informatiche” prosegue Lehn.
“È per questo motivo che abbiamo già condotto un programma bug bounty in versione beta accessibile solo su invito e, visto il successo ottenuto, abbiamo deciso di aprire il programma a tutti. Il nostro programma bug bounty si inserisce quindi all’interno dell’approccio olistico di Kaspersky Lab per migliorare continuamente la resilienza dei propri prodotti”.
Il programma avviato da Kaspersky e affidato alla piattaforma HackerOne avrà in questa fase una durata di 6 mesi e un budget di 50.000 dollari. Le ricompense per l’individuazione delle vulnerabilità dipenderanno dalla tipologia: sono previsti 1.000 dollari per i bug collegati all’escalation dei privilegi a livello locale, 2.000 per quelli relativi alla possibile compromissione dei dati sensibili degli utenti o a falle che permettono l’esecuzione di codice in remoto.
Set 27, 2023 0
Set 07, 2023 0
Ago 04, 2023 0
Lug 31, 2023 0
Ott 02, 2023 0
Ott 02, 2023 0
Ott 02, 2023 0
Set 29, 2023 0
Ott 02, 2023 0
La maggior parte dei leader di cybersecurity segue un...Ott 02, 2023 0
Sebbene molti ruoli nella cybersecurity non richiedano una...Set 27, 2023 0
I cybercriminali stanno sviluppando nuovi attacchi,...Set 26, 2023 0
Sembra che la cybersecurity sia diventata centrale per il...Set 19, 2023 0
Uno dei modi migliori per condividere idee e favorire la...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Ott 02, 2023 0
I ricercatori di Symantec hanno individuato una nuova...Set 29, 2023 0
Gli attacchi contro gli hotel di lusso non si arrestano:...Set 29, 2023 0
Un’indagine congiunta di Group-IB e Bridewell ha...Set 28, 2023 0
L’ultimo aggiornamento di Windows 11 include nuove...Set 28, 2023 0
ZeroFont, una tecnica di phishing già ampiamente...