Che cosè un Bug Bounty?

Data la complessità del software, è difficile garantire che non ci siano bug. Questo è semplicemente il modo in cui le cose sono progettate dall'uomo e altamente complesse. Per ridurre al minimo il problema, le società di sviluppo software includono revisioni del codice nel ciclo di vita dello sviluppo del software. Ma anche un'attenta revisione degli esperti non può catturare tutto. I limiti in tempo reale e di budget lo aggravano. Per questo motivo, i bug si fanno strada verso i sistemi di produzione. Alcuni bug hanno poco o nessun effetto, ma altri possono introdurre brutte vulnerabilità di sicurezza.

Una vulnerabilità di sicurezza è una classe di bug che influisce in qualche modo sulla sicurezza del sistema. Esiste un'ampia gamma di possibili risultati, ma alla fine tutte le vulnerabilità della sicurezza sono dannose per tutti. Sfortunatamente, trovare bug può essere difficile e richiedere molto tempo. Mentre gli sviluppatori possono dedicare solo una quantità limitata di tempo a testare i bug, un altro gruppo combinato impiega molto più tempo a utilizzare l'applicazione: gli utenti.

Gli utenti di un sistema, messi insieme, trascorrono molto più tempo su un sistema di quanto potrebbero mai fare gli sviluppatori di quel sistema. Usano anche una varietà molto più ampia di dispositivi. Combinato, questo rende l'ambiente perfetto per trovare bug: molti occhi e casi limite.

Mettere gli utenti al lavoro

Il modo tradizionale di utilizzare gli utenti per risolvere i bug è disporre di una funzione di segnalazione degli errori che consenta agli utenti di segnalare un bug che incontrano. Gli sviluppatori possono utilizzare queste informazioni per replicare, identificare e risolvere il problema. Il problema è che c'è un incentivo minimo per l'utente a segnalare eventuali problemi. È un processo che richiede tempo, ha potenziali implicazioni sulla privacy e generalmente non comporta alcun feedback, anche se il problema è stato risolto.

Le vulnerabilità della sicurezza sono anche peggiori. Un utente malintenzionato potrebbe scegliere di utilizzare attivamente una vulnerabilità che trova. A seconda del problema, potrebbe essere possibile ottenere l'accesso a qualcosa di prezioso, sul mercato nero o tramite riscatto o ricatto. In alternativa, è possibile vendere la conoscenza della vulnerabilità sul mercato nero. In ogni caso, gli utenti non sono incentivati ​​a segnalare bug e sono disincentivati ​​a segnalare vulnerabilità di sicurezza.

Girando i tavoli

Un sistema di bug bounty è un modo per ribaltare la situazione e incoraggiare la segnalazione attiva di problemi di sicurezza. Il metodo è semplice, li premia. Il metodo standard prevede il pagamento di una taglia in denaro e il riconoscimento pubblico del contributo. Questo premia direttamente gli utenti per aver segnalato una vulnerabilità della sicurezza e li incoraggia a fare la cosa giusta.

I sistemi di bug bounty sono in genere aperti a chiunque. Qualsiasi utente che identifichi una vulnerabilità di sicurezza può segnalarlo e farsi pagare. Ci sono alcuni avvertimenti, però. Per essere pagato, in genere devi essere la prima persona a segnalare un problema, anche se a volte ci sono rare eccezioni in circostanze eccezionali. Devi anche seguire le regole.

Le regole di un sistema di bug bounty forniscono una protezione totale da azioni legali se rimani all'interno di esse. Sono spesso dettagliate ma relativamente semplici. Non accedere ai dati di altre persone, non utilizzare le vulnerabilità in modo dannoso e divulgarli in modo privato e responsabile. Potrebbero esserci anche alcune cose che sono considerate vietate.

Come sono le ricompense?

Realisticamente, le ricompense si basano sulla buona volontà. C'è anche un elemento di "se questo ha causato una violazione dei dati, dovremmo pagare una multa molto più grande". In genere, l'azienda paga un importo relativamente basso per questo. Questo, tuttavia, può essere molto per il giornalista. Alcuni bug possono essere pagati per meno di cento dollari. In casi estremi, però, alcune aziende hanno pagato centomila dollari per gravi vulnerabilità. Naturalmente, la maggior parte delle ricompense sono molto inferiori.

Storicamente, le taglie dei bug sono state molto più basse e talvolta più di un semplice ringraziamento. Ad esempio, inviare una maglietta gratuita o fornire un abbonamento gratuito a vita al servizio. Tuttavia, le grandi aziende tecnologiche hanno potenziato il mercato, così come l'arrivo delle piattaforme di bug bounty. Le piattaforme di bug bounty sono siti Web che ospitano i programmi di bug bounty di molti clienti. Raggruppano tutto in un unico posto. Ciò rende molto più semplice per un'organizzazione più piccola eseguire un sistema di bug bounty. Uno dei modi in cui lo fa è semplicemente standardizzando il processo.

Ovviamente, la ricompensa in una taglia di bug è molto inferiore a quella che si potrebbe ottenere vendendo il bug sul mercato nero. Il concetto si basa sul fatto che, generalmente, la maggior parte delle persone vuole fare la cosa giusta. O almeno non vogliono che il rischio di infrangere la legge torni a perseguitarli.

Conclusione

Un bug bounty è un sistema di pagamento di una ricompensa per aver trovato e divulgato responsabilmente una vulnerabilità di sicurezza. Incoraggia attivamente gli utenti a testare e migliorare la sicurezza dei prodotti. Porta molti nuovi occhi al processo di test, il tutto a un costo minimo per l'azienda. Ovviamente, come qualcuno che prende parte a un sistema di bug bounty, è essenziale stare attenti e capire le regole.

L'hacking è illegale; il programma bug bounty consente di testare alcune cose ma in genere include limitazioni. Se non segui le regole, potresti essere penalmente responsabile. Se segui le regole, trovi e segnali un bug, potresti ottenere un buon compenso e aumentare la sicurezza per te stesso e per gli altri utenti.



Leave a Comment

Chrome: questo file non può essere scaricato in modo sicuro

Chrome: questo file non può essere scaricato in modo sicuro

Scopri come risolvere l

Opera VPN non funziona? Prova queste soluzioni rapide

Opera VPN non funziona? Prova queste soluzioni rapide

Scopri come risolvere i problemi con Opera VPN, il servizio VPN gratuito incluso nel browser Opera. Seguendo queste soluzioni rapide, puoi ottimizzare la tua esperienza VPN.

Come controllare la cronologia delle attività di accesso a Gmail

Come controllare la cronologia delle attività di accesso a Gmail

Scopri come controllare la cronologia delle attività di accesso a Gmail per garantire la sicurezza del tuo account. Segui questi semplici passaggi e proteggi i tuoi dati.

Come impedire a YouTube di chiedere se si desidera continuare a guardare

Come impedire a YouTube di chiedere se si desidera continuare a guardare

Scopri come evitare che YouTube ti chieda di confermare se stai continuando a guardare, utilizzando estensioni efficaci per Chrome e Firefox.

Correggi YouTube: i nostri sistemi hanno rilevato traffico insolito

Correggi YouTube: i nostri sistemi hanno rilevato traffico insolito

Se YouTube ha rilevato traffico insolito dal mio computer, ciò potrebbe significare che il sistema sospetta che si tratti di traffico automatizzato. Scopri come risolvere questo problema.

Correzione: YouTube Kids non carica i video

Correzione: YouTube Kids non carica i video

Se YouTube Kids non riproduce alcun video, controlla la connessione, esci dal tuo account e svuota la cache. Trova soluzioni efficaci per risolvere questo problema.

Puoi disegnare un raggio su Google Maps?

Puoi disegnare un raggio su Google Maps?

Scopri se puoi disegnare un raggio su Google Maps e quali strumenti alternativi puoi utilizzare per calcolare la distanza intorno a una posizione.

Non riesci ad accedere a YouTube? Usa questi suggerimenti per risolvere il problema

Non riesci ad accedere a YouTube? Usa questi suggerimenti per risolvere il problema

Se non riesci ad accedere a YouTube, controlla se il tuo browser è responsabile di questo problema. Svuota la cache, disabilita le estensioni e segui i nostri suggerimenti per risolvere facilmente il problema.

Zoom: come configurare gli avvisi del lettore dello schermo

Zoom: come configurare gli avvisi del lettore dello schermo

Usare un computer quando sei ipovedente non è particolarmente facile. Scopri come configurare gli avvisi del lettore dello schermo in Zoom per facilitare l

Come proteggere con password i file su Google Drive?

Come proteggere con password i file su Google Drive?

Scopri come proteggere con password i tuoi file su Google Drive con questo metodo semplice e veloce.