Le 7 migliori piattaforme di bug Bounty per le organizzazioni per migliorare la sicurezza

Il Pensiero di un Hacker per una Sicurezza Rafforzata

Solo una mente da hacker può comprendere le dinamiche di un attacco. Perciò, quando l’obiettivo è rendere un sistema “a prova di hacker”, potrebbe essere necessario consultare proprio uno di loro.

La sicurezza delle applicazioni è un tema sempre attuale, diventato nel tempo di crescente importanza.

Nonostante la disponibilità di numerosi strumenti difensivi (firewall, SSL, crittografia asimmetrica, ecc.) e le consolidate pratiche di sicurezza, nessuna applicazione web può dirsi completamente al sicuro dagli attacchi.

Perché?

La ragione principale risiede nella complessità dello sviluppo software. I bug (noti e sconosciuti) sono intrinseci alle fondamenta usate dagli sviluppatori e ne vengono creati di nuovi con l’introduzione di software e librerie. Persino le aziende tecnologiche più blasonate sono soggette a vulnerabilità.

Ingaggiare Hacker: Una Strategia Efficace

Considerando che i bug e le vulnerabilità sono una costante nel mondo del software, come possono le aziende che dipendono da esso proteggersi? Come può, ad esempio, una nuova applicazione di wallet garantire la propria resilienza di fronte ai tentativi di violazione?

La risposta è semplice: ingaggiando gli hacker per esaminare attentamente l’applicazione appena creata! E perché dovrebbero farlo? Ovviamente, in cambio di una generosa ricompensa: la cosiddetta bug bounty!

L’idea è quella di incentivare hacker esperti (specialisti della sicurezza) a testare l’applicazione. Se scoprono una vulnerabilità, ricevono un premio.

Ci sono due modi per farlo: 1) organizzare autonomamente un programma di bug bounty; 2) affidarsi a una piattaforma specializzata.

Bug Bounty: Autogestione vs. Piattaforme

Perché scegliere di utilizzare (e pagare) una piattaforma di bug bounty quando si potrebbe gestire il tutto in autonomia? Si potrebbe creare una pagina web con tutti i dettagli e promuoverla sui social media. Sembra semplice, no?

Questa idea potrebbe apparire valida, ma proviamo a considerare il punto di vista di un hacker. La ricerca di bug non è un’attività semplice, richiede anni di formazione, una vasta conoscenza, determinazione e creatività.

Un hacker non conosce l’azienda o non è sicuro che verrà pagato. Oppure potrebbe semplicemente non essere motivato. Le bug bounty autogestite funzionano per grandi aziende come Google, Apple, Facebook, il cui nome è una garanzia. “Ho trovato una vulnerabilità nell’app HRMS sviluppata da XYZ Tech Systems” non suona altrettanto attraente (con le dovute scuse a qualsiasi azienda con un nome simile!).

Ci sono inoltre altre ragioni pratiche per non optare per l’autogestione.

Mancanza di infrastrutture

Gli hacker a cui ci rivolgiamo non sono figure che frequentano il dark web, ma ricercatori con competenze informatiche, provenienti da università o cacciatori di bug professionisti. Queste figure prediligono l’invio di informazioni in formati specifici, aspetto che potrebbe essere problematico da gestire in autonomia.

Anche i migliori sviluppatori potrebbero avere difficoltà a tenere il passo, e il costo opportunità potrebbe essere troppo elevato.

Gestione degli invii

Un altro aspetto problematico è la verifica dei report. Anche se il software è deterministico, c’è sempre un margine di discussione su quando un determinato requisito viene soddisfatto. Facciamo un esempio.

Ipotizziamo di aver lanciato un programma di bug bounty per vulnerabilità di autenticazione e autorizzazione. Si dichiara che il sistema è immune da rischi di impersonificazione. Un hacker, tuttavia, trova una falla nel funzionamento di un browser che permette di rubare il token di sessione di un utente e impersonarlo.

È una scoperta valida?

Dal punto di vista dell’hacker, una violazione è una violazione. Dal punto di vista dell’azienda, la situazione potrebbe essere diversa. Magari si pensa che la responsabilità ricada sull’utente o che il browser non rientri nel mercato di riferimento.

Se questa situazione si presentasse su una piattaforma di bug bounty, ci sarebbero figure in grado di valutare l’impatto della scoperta e decidere sulla sua validità.

Vediamo alcune delle piattaforme di bug bounty più utilizzate.

Yes WeHack

Yes WeHack è una piattaforma globale che offre servizi di bug bounty e di sicurezza in crowdsourcing in molti paesi, tra cui Francia, Germania, Svizzera e Singapore. Rappresenta una soluzione efficace per contrastare le minacce crescenti nel contesto di aziende sempre più agili, dove gli strumenti tradizionali non sono più sufficienti.

YesWeHack permette di accedere a un pool virtuale di hacker etici e massimizzare le capacità di test. Si possono selezionare i cacciatori e indicare gli ambiti da testare, condividendoli con la community di YesWeHack. La piattaforma segue standard rigorosi per salvaguardare gli interessi sia dei cacciatori sia delle aziende.

Questa soluzione permette di migliorare la sicurezza delle applicazioni, sfruttare la reattività dei cacciatori e ridurre i tempi di riparazione e individuazione delle vulnerabilità. I risultati sono tangibili fin da subito.

Open Bug Bounty

Si sta pagando troppo per i programmi di bug bounty?

Si può provare Open Bug Bounty per i test di sicurezza in crowdsourcing.

Questa piattaforma è guidata dalla comunità, aperta, gratuita e disintermediata. Offre una divulgazione responsabile e coordinata delle vulnerabilità, in conformità con lo standard ISO 29147. Fino ad oggi, ha contribuito a correggere oltre 641.000 vulnerabilità.

Ricercatori e professionisti della sicurezza di siti come WikiHow, Twitter, Verizon, IKEA, MIT, Berkeley University, Philips, Yamaha hanno utilizzato Open Bug Bounty per risolvere problemi di sicurezza come vulnerabilità XSS, injection SQL, ecc. Si possono trovare professionisti qualificati e reattivi per portare a termine il lavoro in tempi brevi.

Hackerone

Tra i programmi di bug bounty, Hackerone è leader nell’accesso agli hacker, nella creazione di programmi di bug bounty e nella valutazione dei risultati.

Ci sono due modalità di utilizzo di Hackerone: utilizzare la piattaforma per raccogliere i report di vulnerabilità e gestirli in autonomia, oppure affidare agli esperti di Hackerone il lavoro di valutazione. Il triaging è un processo che consiste nel raccogliere i report di vulnerabilità, verificarli e comunicare con gli hacker.

Hackerone è utilizzato da aziende come Google Play, PayPal, GitHub, Starbucks. È quindi una soluzione adatta a chi ha vulnerabilità di alto livello e budget consistenti.

Bugcrowd

Bugcrowd offre varie soluzioni per la valutazione della sicurezza, tra cui il bug bounty. Fornisce una soluzione SaaS che si integra nel ciclo di vita del software e semplifica la gestione di un programma di bug bounty.

Si può scegliere tra un programma di bug bounty privato, con pochi hacker selezionati, oppure un programma pubblico, con un numero elevato di partecipanti.

SafeHats

Se un’azienda non si sente a suo agio a rendere pubblico il proprio programma di bug bounty e necessita di maggiore attenzione rispetto a quella offerta da una tipica piattaforma, SafeHats è la scelta più appropriata.

Consulente dedicato per la sicurezza, profili dettagliati degli hacker, partecipazione solo su invito: tutto è personalizzato in base alle esigenze e al livello di maturità del modello di sicurezza.

Intigriti

Intigriti è una piattaforma completa che mette in contatto con hacker white hat, sia per programmi privati che pubblici.

Per gli hacker, ci sono numerose taglie disponibili. In base alle dimensioni dell’azienda e al settore, le ricompense possono variare da € 1.000 a € 20.000.

Synack

Synack sembra rappresentare un’eccezione nel mercato, un’azienda che rompe gli schemi e raggiunge risultati eccezionali. Il loro programma di sicurezza Hackera il Pentagono ha portato alla scoperta di diverse vulnerabilità critiche.

Synack è la soluzione ideale per chi non cerca solo la scoperta di bug, ma anche consulenza sulla sicurezza e formazione di alto livello.

Conclusione

Così come è meglio diffidare di chi promette “cure miracolose”, è consigliabile non fidarsi di chi afferma di poter offrire una sicurezza a prova di proiettile. Tutto ciò che si può fare è avvicinarsi il più possibile all’ideale. I programmi di bug bounty non sono pensati per creare applicazioni prive di bug, ma come strategia essenziale per eliminare le vulnerabilità più pericolose.

Si può approfondire l’argomento tramite questo corso di caccia ai bug per apprendere le tecniche e ottenere fama e ricompense.

Scopri i più importanti programmi di bug bounty al mondo.

Buona caccia ai bug! 🙂