Aggiornamenti recenti Novembre 21st, 2024 2:11 PM
Ago 04, 2016 Marco Schiaffino Approfondimenti, Mercato, Prodotto, RSS, Vulnerabilità 0
I programmi di bug bounty sono ormai uno strumento indispensabile per le società informatiche che vogliono garantire la sicurezza dei loro prodotti. A differenza dei normali programmi di debugging, infatti, consentono di coinvolgere una platea più vasta di ricercatori, offrendo una ricompensa a chiunque individui e segnali un problema di sicurezza.
Un sistema che si richiama (almeno in parte) a una filosofia “open” e che negli ultimi anni ha permesso a molte aziende di ottenere migliori risultati nella “caccia al bug”.
Le società di sicurezza informatica, però, li adottano raramente. Un atteggiamento che sembra legato, più che altro, all’idea di voler mantenere quanto più possibile riservate le tecnologie (e le debolezze) dei loro prodotti. Ora, però, le cose stanno cambiando e non solo per volontà delle aziende coinvolte.
Se da un lato la bontà della formula è ormai fuori di dubbio, dall’altra la strategia di cercare di lavare i panni sporchi in casa propria si scontra con il fatto che decine di ricercatori indipendenti eseguono continue analisi anche sui prodotti antivirus.
A dimostrarlo sono le recenti notizie riguardanti possibili vulnerabilità in numerosi prodotti antivirus (di cui si dovrebbe sapere qualcosa di più preciso proprio in questi giorni) o il caso del bug individuato nei prodotti Symantec dal Project Zero Team di Google.
Una delle prime aziende del settore a battere questa strada con una certa convinzione è Kaspersky, che ha annunciato in questi giorni l’avvio del suo programma pubblico.
“In un panorama delle minacce sempre più complesso, i programmi bug bounty sono ormai essenziali per le aziende di sicurezza IT, per scoprire eventuali vulnerabilità software senza mettere in pericolo i propri clienti” spiega a SecurityInfo.it Morten Lehn, General Manager di Kaspersky Lab Italia.
“In questo modo, non è solo possibile garantire un costante miglioramento della protezione offerta, ma anche stringere e rafforzare le relazioni con esperti di sicurezza esterni all’azienda”
Le parole del Manager di Kaspersky confermano quindi l’idea che anche le società di sicurezza possono ottenere notevoli vantaggi nell’apertura alla collaborazione con collaboratori indipendenti.
“In qualità di sviluppatori di soluzioni di sicurezza IT, comprendiamo l’importanza di implementare qualsiasi misura potenzialmente efficace per rafforzare le nostre difese dalle minacce informatiche” prosegue Lehn.
“È per questo motivo che abbiamo già condotto un programma bug bounty in versione beta accessibile solo su invito e, visto il successo ottenuto, abbiamo deciso di aprire il programma a tutti. Il nostro programma bug bounty si inserisce quindi all’interno dell’approccio olistico di Kaspersky Lab per migliorare continuamente la resilienza dei propri prodotti”.
Il programma avviato da Kaspersky e affidato alla piattaforma HackerOne avrà in questa fase una durata di 6 mesi e un budget di 50.000 dollari. Le ricompense per l’individuazione delle vulnerabilità dipenderanno dalla tipologia: sono previsti 1.000 dollari per i bug collegati all’escalation dei privilegi a livello locale, 2.000 per quelli relativi alla possibile compromissione dei dati sensibili degli utenti o a falle che permettono l’esecuzione di codice in remoto.
Nov 11, 2024 0
Ott 02, 2024 0
Set 30, 2024 0
Set 19, 2024 0
Nov 21, 2024 0
Nov 20, 2024 0
Nov 19, 2024 0
Nov 18, 2024 0
Nov 21, 2024 0
Google ha annunciato di aver trovato 26 nuove...Nov 14, 2024 0
L’FBI ha lanciato un allarme: stando a un avviso...Nov 13, 2024 0
I ricercatori di Securonix hanno scoperto CRON#TRAP, una...Nov 12, 2024 0
Le minacce APT sono in aumento e in molti casi stanno...Nov 11, 2024 0
Kaspersky ha collaborato a Synergia II, operazione...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Nov 21, 2024 0
Google ha annunciato di aver trovato 26 nuove...Nov 20, 2024 0
Una campagna di spionaggio a opera di hacker cinesi ha...Nov 19, 2024 0
I ricercatori di Sekoia hanno individuato una nuova...Nov 18, 2024 0
István Márton, ricercatore di Wordfence, ha individuato...Nov 15, 2024 0
La sicurezza dei toolkit ML continua a essere minacciata...