Le principali aziende del settore IT promuovono da anni dei programmi bug bounty. I ricercatori esperti in materia di sicurezza informatica possono segnalare in privato e in modo responsabile eventuali vulnerabilità individuate nei prodotti e servizi di un’azienda. In base alla tipologia del problema di sicurezza segnalato e alla sua gravità, il ricercatore riceve una ricompensa in denaro di importo variabile.
Si tratta di un approccio win-win: con i programmi bug bounty l’azienda può mantenere elevato il livello di attenzione nei confronti dei suoi prodotti avendo la possibilità di migliorarne costantemente il livello di sicurezza intrinseco. Sulla base delle “regole del gioco” previste dal programma bug bounty, la stessa azienda ha la certezza che il ricercatore manterrà assoluto riserbo sulle vulnerabilità scoperte.
D’altra parte il ricercatore ottiene un lato premio in denaro e una citazione (credit) nel momento in cui vengono pubblicate le patch correttive.
Dopo la correzione del problema di sicurezza il ricercatore ha generalmente poi facoltà di pubblicare i dettagli tecnici circa la vulnerabilità individuata.
Le aziende più strutturate difendono così, in modo intelligente e costruttivo, i propri prodotti e servizi tutelando allo stesso tempo gli interessi e i dati personali dei propri utenti. Sappiamo bene, infatti, ciò che accade quando una vulnerabilità zero-day (si chiamano così le falle non note agli sviluppatori che vengono già sfruttate per sferrare attacchi informatici particolarmente efficaci, proprio perché sferrati a partire dal “giorno zero” e in assenza di qualunque aggiornamento correttivo…) inizia a essere sfruttata dai vari codici exploit: possono esservi tentativi di esecuzione di codice arbitrario da remoto con la conseguente sottrazione di dati che possono essere riservati, personali o sensibili.
Le piattaforme utilizzate dalla Pubblica Amministrazione possono anch’esse soffrire di vulnerabilità che in alcuni casi portano alla compromissione di dati personali o quanto meno alla loro divulgazione all’insaputa dei diretti interessati.
In Italia, purtroppo, non c’è un programma bug bounty di Stato: ciò significa che l’attività dei ricercatori che individuano e segnalano responsabilmente eventuali problematiche di sicurezza non è né promossa né incentivata.
Anzi, chi segnala vulnerabilità nelle piattaforme della Pubblica Amministrazione rischia grosso. Come spiega l’avvocato Fulvio Sarzana, il concetto di hacking etico non è attualmente riconosciuto nel nostro Paese. La “diffusione responsabile” dei dettagli sulle vulnerabilità di sicurezza potrebbe quindi portare, nella stragrande maggioranza dei casi, a dover sostenere denunce per violazione di sistemi informativi (art. 615-ter c.p.).
Il bug bounty di Stato è realtà in Svizzera: perché non usarlo come modello in Italia?
Paolo Attivissimo ha segnalato oggi che la Svizzera ha promosso un programma bug bounty di Stato con il preciso obiettivo di “potenziare la sicurezza dell’infrastruttura IT e ridurre i cyber-rischi in modo efficace ed economicamente vantaggioso“.
Tutto è spiegato nella nota della Confederazione elvetica con cui si spiega che il Paese si è dotato di una piattaforma centralizzata per la gestione di programmi bug bounty.
“Sotto la guida del Centro nazionale per la cibersicurezza (NCSC) e in collaborazione con Bug Bounty Switzerland, gli hacker etici setacceranno i sistemi informatici dell’Amministrazione federale alla ricerca di vulnerabilità“, si legge nel comunicato diramato quest’oggi. Si tratta esattamente di ciò che auspicavamo da tempo potesse essere realizzato anche in Italia: abbiamo illustrato la nostra idea a più livelli, chiesto pareri, avanzato idee concrete. Chi abbiamo contattato o si è girato dall’altra parte o ha bollato le nostre proposte come qualcosa di fattivamente irrealizzabile. Almeno nel nostro Paese.
E invece il Centro nazionale per la cibersicurezza svizzero racconta che non soltanto nella primavera 2021 era stato avviato un progetto pilota per coinvolgere gli hacker etici e far studiare loro le misure di sicurezza dei sistemi utilizzati da parte degli enti pubblici ma che i risultati sono stati talmente incoraggianti che si è deciso di estendere l’iniziativa al maggior numero possibile di sistemi dell’Amministrazione federale sotto la guida dell’NCSC.
Ad essere direttamente coinvolta nel progetto c’è Bug Bounty Switzerland SA, una della società pioniere in ambito di programmi bug bounty in territorio elvetico. Bug Bounty Switzerland vanta un grande know-how nella realizzazione di questi programmi e nella cooperazione con gli hacker etici.
Ci auguriamo che da domani qualcuno in Italia voglia davvero cominciare a ispirarsi a questa buona idea e “gettare un seme” come avevamo già provato a fare, nel nostro piccolo, tempo fa.