Le regole del gioco

Netgear ha lanciato un bug bounty program, con premi fino a 15.000 dollari per chi riuscirà a trovare falle nei suoi prodotti informatici. In particolare legati ai router, fondamentali per proteggere gli utenti dagli attacchi cibernetici; alle telecamere di sicurezza e ai dispositivi wi-fi. Lo ha fatto con una partnership con Bugcrowd, a seguito della quale è stato ufficialmente inaugurato il Netgear Responsible Disclosure Program. Gli hacker interessati, però, dovranno sottostare a una serie di regole. La prima e più importante è: si possono fare exploit, investigare o attaccare i dispositivi in proprio possesso. Inoltre, si ricorda che i test non dovranno violare la legge o compromettere né distruggere dati che non siano di proprietà dell’attaccante. È proibito anche l’accesso intenzionale ai dati degli altri clienti.

I premi vanno da 150 a 15.000 dollari e sono cumulabili. C’è anche un jackpot

Netgear pagherà la taglia più alta, 15.000 dollari, a chi riuscirà a entrare nel servizio cloud storage video e o in quello live video feeds, disponibili per tutti i clienti. Stessa ricompensa per chi effettuerà accessi non autorizzati ai router di altri soggetti da connessioni pubbliche. Il bounty program assegna anche 10.000 dollari per coloro che entreranno nei servizi cloud storage video e live video feeds di un singolo utente. Medesimo premio per chi ritroverà i dati di una transazione finanziaria con carta di credito, fornendo tutti e 16 i numeri della carta e il CVV. Il riconoscimento più basso, invece, pari a 150 dollari sarà dato a chi dimostrerà di aver fatto una open redirection. Le taglie, peraltro, sono cumulabili. Inoltre, c’è il jackpot. Chi riuscirà a trovare almeno 3 falle in una catena si vedrà triplicare il premio.

I bug bounty program sempre più diffusi tra le aziende informatiche e i governi

La pratica di lanciare bug bounty program è sempre più comune alle aziende informatiche e ai governi internazionali. Ci si è resi conto che le cifre pagate a chi scopre vulnerabilità e falle sono molto minori – anche se a volte estremamente elevate – rispetto a quelle che si sarebbero spese se la scoperta fosse fatta dopo un cybercrime. Senza contare i danni all’immagine dell’impresa e il rischio di essere citati in giudizio. Come nel caso di D-Link, portata in tribunale dalla Federal Trade Commission (FTC) Usa. L’accusa è che l’azienda non sia riuscita a implementare la protezione di sicurezza necessaria sui suoi router e sulle telecamere connesse a internet. Ciò ha messo migliaia di consumatori a rischio di subire attacchi informatici.

Da dove vengono gli hacker che partecipano ai programmi

D’altronde, i bug bounty program attirano anche sempre più hacker. Sia gli idealisti, che lo vedono come un modo per proteggere internet, sia quelli più “veniali”. Partecipare, infatti, permette di guadagnare denaro facendo le stesse operazioni. Ma in modo legale. HackerOne, la più grande piattaforma a livello mondiale del settore ha stilato l’anno scorso un rapporto. Nel testo si risponde alle domande su chi sono quelli che aderiscono ai programmi, dove vivono e cosa li spinge a impegnarsi in questa battaglia. Complessivamente i whitehat hacker operano da 72 paesi. La maggior parte proviene dall’India (21 per cento), seguita dagli Stati Uniti (19) e dalla Russia (l’8 per cento). Gli altri, con percentuali che variano dal 2 al 3 per cento risiede in altri stati. Pakistan, Regno Unito, Egitto, Olanda, Ucraina, Germania, Filippine, Marocco, Francia e Turchia tra gli altri.

Le motivazioni e i guadagni

Le motivazioni per partecipare ai bug bounty program. Sono soprattutto il denaro (72 per cento), seguito da divertimento (70), voglia di affrontare nuove sfide (66) e possibilità di fare carriera (64). Non mancano, però, gli idealisti. Il 51 per cento degli intervistati, infatti, ha spiegato che lo scopo primario è cercare di fare qualcosa di buono per il mondo. Infine, nel rapporto c’è il capitolo guadagni. Il 51,2 per cento trae profitti per meno di 20 mila dollari, l’8 tra i 20 mila e i 34.999, il 3,1 tra i 35 mila e i 49.999, il 3 tra i 50 mila e i 74.999, il 2 tra i 75 mila e i 99.999. I maxi compensi. Il 2,8 per cento dichiara di guadagnare tra i 100 e i 149.999. l’1 tra i 150 e i 199.999. l’1,1 tra i 200 e i 349.999 e lo 0,8 oltre i 350 mila.

Il bug bounty program di Netgear

Il rapporto di HackerOne sugli hacker e i bug bounty program (file PDF)