Negli ultimi anni, i programmi di bug bounty hanno guadagnato popolarità tra le aziende tecnologiche come metodo per scoprire vulnerabilità nei loro software. Tuttavia, esperti come Katie Moussouris, una hacker etica di fama, avvertono che questi schemi non sono sufficienti per garantire la sicurezza informatica. Moussouris sottolinea l’urgenza di rendere le aziende responsabili per la creazione di codice insicuro, simile a come le case automobilistiche devono rispondere per difetti nei loro veicoli.
Il panorama attuale dei bug bounty
I programmi di ricompensa per la scoperta di bug sono diventati una pratica comune, con aziende come Apple che offrono premi fino a 2 milioni di dollari per la segnalazione di vulnerabilità critiche. Tuttavia, Moussouris mette in evidenza che tali iniziative possono risultare sfruttive per i ricercatori di sicurezza.
Infatti, solo il primo che scopre e segnala una vulnerabilità riceve una ricompensa, mentre gli altri che lavorano su problemi simili possono non ottenere nulla.
Le sfide per i ricercatori di sicurezza
Molti professionisti del settore non riescono a guadagnarsi da vivere esclusivamente attraverso i programmi di bug bounty. La maggior parte dei ricercatori non possiede le competenze per identificare le vulnerabilità più gravi e, anche se le possiedono, spesso preferiscono contratti a lungo termine o posizioni stabili. Inoltre, le normative, come il Computer Misuse Act nel Regno Unito, pongono rischi legali per chi cerca di svolgere attività di ricerca nella sicurezza informatica.
La risposta dei governi
Di fronte a queste problematiche, i governi hanno iniziato a riconoscere la necessità di proteggere i ricercatori di sicurezza.
Recentemente, il governo britannico ha annunciato l’intenzione di introdurre una difesa legale per i ricercatori che identificano e comunicano vulnerabilità, proteggendoli da eventuali accuse. Questa mossa è stata accolta con favore dagli esperti del settore, che vedono in essa un passo verso un ambiente più sicuro per la ricerca nella cybersicurezza.
Il ruolo degli accordi di non divulgazione
Un’altra questione riguarda l’uso degli accordi di non divulgazione (NDA) da parte delle aziende. Molte impongono che i ricercatori firmino un NDA prima di ricevere ricompense per la segnalazione di vulnerabilità. Questo approccio può ostacolare la trasparenza e incentivare la divulgazione pubblica delle vulnerabilità, aumentando il rischio di sfruttamento da parte di attori malintenzionati, come sottolinea Moussouris.
La crescente influenza dell’intelligenza artificiale
Con l’emergere dell’intelligenza artificiale, Moussouris prevede che i bug bounty potrebbero subire un cambiamento radicale. Le piattaforme di bug bounty negli Stati Uniti stanno già integrando l’IA per migliorare la gestione delle vulnerabilità, ma questo solleva interrogativi sul futuro dei ricercatori umani. Se l’IA diventa sempre più capace di scovare bug, è necessario interrogarsi su chi si occuperà della risoluzione di queste problematiche.
Implicazioni per il futuro della sicurezza
La transizione verso sistemi automatizzati potrebbe ridurre la necessità di esperti umani nel campo della sicurezza. Moussouris avverte che sebbene l’IA possa identificare più facilmente i difetti, la scrittura e il collaudo di patch sicure rimangono compiti complessi. Senza investimenti adeguati in questo settore, il rischio è che le vulnerabilità rimangano irrisolte.
L’industria del software deve affrontare sfide significative riguardo alla sicurezza informatica e alla responsabilità. Mentre i programmi di bug bounty possono avere un ruolo, è cruciale che i governi e le aziende adottino misure più rigorose per garantire la sicurezza software, rendendo le aziende responsabili per le vulnerabilità nei loro prodotti.
