Kaspersky avvia un programma pubblico di bug bounty da 50.000 $

Ago 04, 2016 Marco Schiaffino Approfondimenti, Mercato, Prodotto, RSS, Vulnerabilità 0

La società russa si è affidata alla piattaforma HackerOne. L’obiettivo è quello di individuare eventuali vulnerabilità nei prodotti desktop.

I programmi di bug bounty sono ormai uno strumento indispensabile per le società informatiche che vogliono garantire la sicurezza dei loro prodotti. A differenza dei normali programmi di debugging, infatti, consentono di coinvolgere una platea più vasta di ricercatori, offrendo una ricompensa a chiunque individui e segnali un problema di sicurezza.

Un sistema che si richiama (almeno in parte) a una filosofia “open” e che negli ultimi anni ha permesso a molte aziende di ottenere migliori risultati nella “caccia al bug”.

Le società di sicurezza informatica, però, li adottano raramente. Un atteggiamento che sembra legato, più che altro, all’idea di voler mantenere quanto più possibile riservate le tecnologie (e le debolezze) dei loro prodotti. Ora, però, le cose stanno cambiando e non solo per volontà delle aziende coinvolte.

Se da un lato la bontà della formula è ormai fuori di dubbio, dall’altra la strategia di cercare di lavare i panni sporchi in casa propria si scontra con il fatto che decine di ricercatori indipendenti eseguono continue analisi anche sui prodotti antivirus.

Offrire una ricompensa in denaro per ogni bug individuato significa poter contare su centinaia di ricercatori all’opera.

A dimostrarlo sono le recenti notizie riguardanti possibili vulnerabilità in numerosi prodotti antivirus (di cui si dovrebbe sapere qualcosa di più preciso proprio in questi giorni) o il caso del bug individuato nei prodotti Symantec dal Project Zero Team di Google.

Una delle prime aziende del settore a battere questa strada con una certa convinzione è Kaspersky, che ha annunciato in questi giorni l’avvio del suo programma pubblico.

“In un panorama delle minacce sempre più complesso, i programmi bug bounty sono ormai essenziali per le aziende di sicurezza IT, per scoprire eventuali vulnerabilità software senza mettere in pericolo i propri clienti” spiega a SecurityInfo.it Morten Lehn, General Manager di Kaspersky Lab Italia.

“In questo modo, non è solo possibile garantire un costante miglioramento della protezione offerta, ma anche stringere e rafforzare le relazioni con esperti di sicurezza esterni all’azienda”

Le parole del Manager di Kaspersky confermano quindi l’idea che anche le società di sicurezza possono ottenere notevoli vantaggi nell’apertura alla collaborazione con collaboratori indipendenti.

Morten Lehn, General Manager di Kaspersky Lab Italia.

“In qualità di sviluppatori di soluzioni di sicurezza IT, comprendiamo l’importanza di implementare qualsiasi misura potenzialmente efficace per rafforzare le nostre difese dalle minacce informatiche” prosegue Lehn.

“È per questo motivo che abbiamo già condotto un programma bug bounty in versione beta accessibile solo su invito e, visto il successo ottenuto, abbiamo deciso di aprire il programma a tutti. Il nostro programma bug bounty si inserisce quindi all’interno dell’approccio olistico di Kaspersky Lab per migliorare continuamente la resilienza dei propri prodotti”.

Il programma avviato da Kaspersky e affidato alla piattaforma HackerOne avrà in questa fase una durata di 6 mesi e un budget di 50.000 dollari. Le ricompense per l’individuazione delle vulnerabilità dipenderanno dalla tipologia: sono previsti 1.000 dollari per i bug collegati all’escalation dei privilegi a livello locale, 2.000 per quelli relativi alla possibile compromissione dei dati sensibili degli utenti o a falle che permettono l’esecuzione di codice in remoto.

Condividi l'articolo