Aggiornamenti recenti Settembre 19th, 2024 10:23 AM
Ago 04, 2016 Marco Schiaffino Approfondimenti, Mercato, Prodotto, RSS, Vulnerabilità 0
I programmi di bug bounty sono ormai uno strumento indispensabile per le società informatiche che vogliono garantire la sicurezza dei loro prodotti. A differenza dei normali programmi di debugging, infatti, consentono di coinvolgere una platea più vasta di ricercatori, offrendo una ricompensa a chiunque individui e segnali un problema di sicurezza.
Un sistema che si richiama (almeno in parte) a una filosofia “open” e che negli ultimi anni ha permesso a molte aziende di ottenere migliori risultati nella “caccia al bug”.
Le società di sicurezza informatica, però, li adottano raramente. Un atteggiamento che sembra legato, più che altro, all’idea di voler mantenere quanto più possibile riservate le tecnologie (e le debolezze) dei loro prodotti. Ora, però, le cose stanno cambiando e non solo per volontà delle aziende coinvolte.
Se da un lato la bontà della formula è ormai fuori di dubbio, dall’altra la strategia di cercare di lavare i panni sporchi in casa propria si scontra con il fatto che decine di ricercatori indipendenti eseguono continue analisi anche sui prodotti antivirus.
A dimostrarlo sono le recenti notizie riguardanti possibili vulnerabilità in numerosi prodotti antivirus (di cui si dovrebbe sapere qualcosa di più preciso proprio in questi giorni) o il caso del bug individuato nei prodotti Symantec dal Project Zero Team di Google.
Una delle prime aziende del settore a battere questa strada con una certa convinzione è Kaspersky, che ha annunciato in questi giorni l’avvio del suo programma pubblico.
“In un panorama delle minacce sempre più complesso, i programmi bug bounty sono ormai essenziali per le aziende di sicurezza IT, per scoprire eventuali vulnerabilità software senza mettere in pericolo i propri clienti” spiega a SecurityInfo.it Morten Lehn, General Manager di Kaspersky Lab Italia.
“In questo modo, non è solo possibile garantire un costante miglioramento della protezione offerta, ma anche stringere e rafforzare le relazioni con esperti di sicurezza esterni all’azienda”
Le parole del Manager di Kaspersky confermano quindi l’idea che anche le società di sicurezza possono ottenere notevoli vantaggi nell’apertura alla collaborazione con collaboratori indipendenti.
“In qualità di sviluppatori di soluzioni di sicurezza IT, comprendiamo l’importanza di implementare qualsiasi misura potenzialmente efficace per rafforzare le nostre difese dalle minacce informatiche” prosegue Lehn.
“È per questo motivo che abbiamo già condotto un programma bug bounty in versione beta accessibile solo su invito e, visto il successo ottenuto, abbiamo deciso di aprire il programma a tutti. Il nostro programma bug bounty si inserisce quindi all’interno dell’approccio olistico di Kaspersky Lab per migliorare continuamente la resilienza dei propri prodotti”.
Il programma avviato da Kaspersky e affidato alla piattaforma HackerOne avrà in questa fase una durata di 6 mesi e un budget di 50.000 dollari. Le ricompense per l’individuazione delle vulnerabilità dipenderanno dalla tipologia: sono previsti 1.000 dollari per i bug collegati all’escalation dei privilegi a livello locale, 2.000 per quelli relativi alla possibile compromissione dei dati sensibili degli utenti o a falle che permettono l’esecuzione di codice in remoto.
Set 19, 2024 0
Ago 28, 2024 0
Ago 26, 2024 0
Ago 07, 2024 0
Set 18, 2024 0
Set 17, 2024 0
Set 13, 2024 0
Set 13, 2024 0
Set 19, 2024 0
Ora più che mai le aziende si trovano nel mirino dei...Set 18, 2024 0
Negli ultimi tempi gli abusi “transitivi” di...Set 13, 2024 0
Nel suo ultimo Patch Tuesday Microsoft aveva segnalato la...Set 06, 2024 0
Il quishing non è una minaccia nuova, ma negli ultimi...Set 05, 2024 0
Cresce il numero di minacce informatiche contro il settore...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Set 17, 2024 0
Pochi giorni fa il Port of Seattle, l’agenzia...Set 16, 2024 0
I ricercatori di Doctor Web hanno scoperto Vo1d, unSet 16, 2024 0
Nel corso dell’ultima settimana, il CERT-AGID ha...Set 13, 2024 0
I ricercatori di Aqua Nautilus hanno individuato un nuovo...Set 13, 2024 0
Nel suo ultimo Patch Tuesday Microsoft aveva segnalato la...