SAS

Riportare al successo i programmi bug bounty

David Jacoby di Kaspersky Lab a caccia di bug per aiutare l’umanità.

Jeffrey Esposito
26 Apr 2017

Da quando faccio parte di Kaspersky Lab da quasi due anni a questa parte, ho sempre visto David Jacoby come uno dei ricercatori dell’azienda più estroversi e allegri. Oltre a creare meme di Halloween relativi alla sicurezza, ha anche aiutato a dare un volto al team GReAT dell’azienda e ha anche permesso a una troupe cinematografica di visitare casa sua (stile MTV).

Tra le tante cose che vi fanno dire “Accidenti, David sembra essere un tipo davvero figo”, Jacoby potrebbe essersi superato al Security Analyst Summit (SAS) di quest’anno. È iniziato tutto con la seguente affermazione che ha dato inizio al suo intervento durante il secondo giorno di conferenze :

“In questo settore circola tanto denaro… Abbiamo così tanti soldi ma facciamo così poco. Quando è stata l’ultima volta che avete fatto qualcosa di buono?”

A partire da questa domanda, ha iniziato a raccontare il progetto di un fine settimana, nato in collaborazione con Frans Rosén (Detectify) che prevedeva la caccia ai bug per beneficenza. L’obiettivo principale era raggiungere 11.000 dollari. Anche se la cifra fosse stata inferiore, avrebbero trovato qualcosa di più interessante.

“È stato abbastanza bello, abbiamo contattato le aziende che non avrebbero mai partecipato a un programma bug bounty (avrebbero detto di non avere budget)”, ha affermato Jacoby. “Ma mi sono ritrovato a parlare ai dipartimenti di marketing dell’azienda (che avevano fondi e volevano fare beneficenza).

Da queste chiacchierate è nata l’idea del penetration test (pen test) pro bono nell’arco di 24 ore, effettuato da Jacoby, Rosén e altri tre ricercatori. Come pagamento, i ricercatori hanno richiesto una donazione ad un’associazione benefica a scelta dell’azienda.

“Tutti quelli che abbiamo contattato hanno voluto farlo. È stato fantastico”, ha affermato Rosén.

Per Bahnof, ISP svedese, l’idea ha funzionato davvero. Jacoby ha notato che adesso, ogni mese donano denaro in beneficenza in cambio di pen test.

“È una prova del fatto che la gente vuole davvero questo”, ha affermato Jacoby.

Anche il nostro team è rimasto davvero colpito da questo lato altruistico del bug bounty; per questo abbiamo deciso di contattare e parlare ancora un po’ con Jacoby al riguardo.

Kaspersky Daily: Pensi che una componente di beneficenza farebbe in modo che molti hacker white hat facciano del bene alla società?

David Jacoby: Ad essere onesti, non credo che questo faccia cambiare idea alle persone per quanto riguarda la loro partecipazione o meno a un programma bug bounty. Penso che possa aprire ad altri tipi di partnership tra fornitori e associazioni benefiche o aziende di sicurezza e questo a lungo andare coinvolge più persone.

Inoltre, fare del bene dovrebbe essere una cosa essenziale. Abbiamo solo una vita, perché non fare in modo che sia bella per tutti?

Kaspersky Daily: Nella tua conferenza hai affermato di aver avuto anche un’azienda che voleva utilizzare i soldi per darli ai bambini affinché assistessero alle conferenze sulla sicurezza. Pensi che avere un programma per promuovere la sicurezza tra i giovani possa incoraggiare altri hacker white hat e possa migliorare la sicurezza dell’Internet delle Cose?

David Jacoby: Ho una considerazione molto negativa dell’Internet delle Cose perché molti dispositivi sono creati da aziende che non appartengono al settore IT (possono appartenere al settore degli elettrodomestici o a quello dei giochi) quindi non credo farebbe alcuna differenza.

Quando penso alle conferenze sulla sicurezza, ho questa strana sensazione (stiamo insegnando cose divertenti alla gente che già fa parte del settore IT e per ogni biglietto facciamo pagare una somma ridicola). Se volessimo davvero fare la differenza, dovremmo invitare gli studenti che presto saranno i nostri colleghi. Perché dovremmo insegnare cose alle persone che già conoscono il settore? Non ha alcun senso.

Kaspersky Daily: Pensi che aggiungere la componente di beneficenza a un programma bug bounty potrebbe aumentare l’affluenza di persone che partecipano ai programmi generali?

David Jacoby: Spero di sì. Voglio cambiare il mondo (o almeno voglio provarci). Voglio aggiungere programmi di beneficenza praticamente a qualsiasi cosa. Ti faccio un esempio: in Svezia ci sono macchine che riciclano le lattine vuote. Queste macchine hanno due pulsanti: uno chiamato “Dona” e l’altro che ti permette di avere il denaro che ti spetta.

Se volessi donare soldi, dovrei avere la possibilità di farlo. La stessa cosa riguarda qualsiasi settore. Dovremmo essere creativi e inventarci altre idee come questa!

Parlando di programmi bug bounty, Kaspersky Lab ha da poco ampliato il programma bug bounty con Hacker One per includere ancora più prodotti e per aumentare alcune ricompense.

I robot e i lavori che non vorremo fare

I nostri figli faranno gli astronauti, gli artisti o i viaggiatori (qualsiasi cosa vogliano fare perché i compiti più noiosi verranno svolti dai robot).

Privacy e bambini

SOLUZIONI TARGETED SECURITY

ENTERPRISE SOLUTIONS

Riportare al successo i programmi bug bounty

FinSpy: il più avanzato tool di spionaggio

La backdoor Tomiris

I robot e i lavori che non vorremo fare

Consigli

Ecco perché sul vostro iPhone non dovreste mai utilizzare l’ID Apple di qualcun altro

Mese della Cybersecurity Awareness

In che modo i trojan bancari bypassano l’autenticazione a due fattori?

Sicurezza online: 6 semplici regole adatte a tutte le età

Iscriviti per ricevere le nostre notizie via e-mail

Soluzioni per gli utenti privati

Prodotti per piccole imprese

Prodotti per medie imprese

Soluzioni aziendali

Securelist

Eugene Personal Blog

Encyclopedia