Top Nav

Bug hunting; ecco la professione di Bug Hunter

set 2, 2020

Bug hunting per la sicurezza informatica: scopri come diventare bug hunter grazie ai programmi di bug bounty online.

Bug-hunting-professione-Bug-Hunter
Non tutti forse conoscono il “bug hunting”, la particolare pratica di andare a caccia di… bug! E ci stiamo riferendo ai tanto odiosi bug informatici. Quante volte ti sei imbattuto in un bug mentre usavi un software o un servizio online?

Nei casi migliori, riscontrare un bug significa subire un disservizio o un malfunzionamento del programma in utilizzo. Nei casi peggiori invece, un bug può comportare un rischio per la sicurezza informatica del proprio computer o dispositivo.

Specialmente perché i bug sono errori di scrittura del codice di un software o servizio già disponibile sul mercato e in utilizzo da chissà quanti utenti. Ciò significa che dei malintenzionati possono sfruttare queste falle di sicurezza dovute ai bug di un sistema, con lo scopo di sottrare dati personali degli utenti o ancora peggio rubare identità online.

Codice-informatico

Per risolvere un bug, le società mettono in campo varie misure: da lunghe fasi di debugging (ovvero controllo e ricerca) dei propri programmi, fino a versioni beta da far provare a un gruppo ristretto di beta tester (utenti che useranno il programma a fondo con lo scopo di trovare potenziali errori). E poi ci sono i cosiddetti “programmi di bug bounty”.

Come si risolve un bug con un programma bug bounty

Nessuno è perfetto: anche colossi come Microsoft, che in questi giorni si ritrova a combattere un pericoloso bug su Windows relativo alla deframmentazione degli SSD. Ovvero, per quanto grande possa essere una società, è impossibile riuscire a vendere sul mercato un servizio o software esente da potenziali bug o errori.

Qui entra in gioco il bug hunting tramite i programmi di bug bounty, basati spesso sul crowdsourcing. Ma cos’è il crowdsourcing? Si tratta dello sviluppo di un progetto di qualsiasi tipo, portato avanti da una folla (crowd) di utenti volontari (o in parte chiamati su espressa richiesta della società che ha avviato il programma).

Esistono infatti piattaforme come Bugcrowd che permettono alle società di creare i propri programmi di ricerca bug, chiamati in gergo “bug bounty”. Ci sono tanti programmi su Bugcrowd, alcuni lanciati anche da colossi come Tesla, Netflix, TripAdvisor, MasterCard, e molti altri.
  • Ogni programma ha le proprie regole, così come termini e condizioni da rispettare
  • Vengono spiegate le regole del “safe harbor” per ogni bug bounty, ovvero tutte le pratiche da seguire e rispettare quando si fa bug hunting sui servizi, software o siti delle società che hanno pubblicato i programmi di bug bounty
  • Ogni bug bounty fornisce delle ricompense ai bug hunter, ovvero coloro che cercano e trovano dei bug: si parla di ricompense in denaro che partono da qualche centinaio di dollari, fino ad arrivare a decine di migliaia

Il lavoro del Bug Hunter su Bugcrowd

Risolvere un bug significa anche aumentare il livello di sicurezza di un programma, specialmente perché al giorno d’oggi teniamo sempre più dati sensibili sui nostri dispositivi. Ecco perché la figura del “Bug Hunter” si rivela essenziale per ogni società.

Bug-Hunter

Quando si naviga su Internet, si può scegliere di navigare protetti da una rete VPN sicura, proprio come ExpressVPN: una delle migliori VPN in Italia, che dispone anche di un rinnovato programma bug bounty proprio su Bugcrowd.

Mentre per l’utilizzo generale del proprio computer, è sempre un’ottima idea utilizzare un buon antivirus. Ma quando si tratta di programmi e software, diventa fondamentale usare programmi affidabili e sicuri, possibilmente privi di bug.

Mettere-al-sicuro-software
Per questo motivo, ogni società impiega differenti tattiche e strategie per ricercare i bug nei propri prodotti e servizi prima di metterli sul mercato. Sfortunatamente non tutti i bug vengono individuati prima del lancio, motivo per cui vengono rilasciate patch di sicurezza per “fixare” questi bug rimasti nel prodotto finale.

Fixare-bug

E oltre alle patch, ci si affida ai bug hunter tramite i programmi di bug bounty. Per esempio, chiunque su Bugcrowd può diventare un bug hunter partecipando a uno dei tanti programmi disponibili (al momento ce ne sono oltre 200).

Esistono sia programmi aperti a tutti, sia programmi riservati solo agli utenti più esperti e professionisti del settore della sicurezza informatica. Penetration test, bug bounty, ricerche di vulnerabilità: su Bugcrowd ci sono tanti tipi di programmi differenti.
E se la sicurezza informatica ti appassiona, partecipare a uno dei programmi potrebbe rivelarsi una sfida per testare le proprie abilità nel settore. Così come un’opportunità di collaborare con importanti società provenienti da tutto il mondo, venendo ricompensato per ogni bug o vulnerabilità segnalata.
Articolo di HTNovo
Creative Commons License

Modulo di contatto

Archivio