Internet Bug Bounty è l’iniziativa messa in piedi da HackerOne che premia gli hacker che scoprono le vulnerabilità dei software che tengono in piedi la Rete
IBB, Internet Bug Bounty: una vera e propria taglia sui bug e le vulnerabilità dei software che tengono in piedi Internet, un’iniziativa messa in piedi da HackerOne senza scopo di lucro e che ha raccolto già il sostegno filosofico e finanziario di grossi nomi della tecnologia. Gli ultimi ad appoggiare il programma sono Facebook, Ford Foundation e GitHub: che hanno deciso di donare ciascuno 100mila dollari per rimpinguare il fondo che serve a premiare gli hacker responsabili che scovano questi bug e contribuiscono a sanarli.
Come funziona IBB
L’idea alla base del programma IBB è premiare la cosiddetta “responsible disclosure”: di fatto quello che il programma promuove è la filosofia white hat degli hacker, quella che li vede autenticamente paladini del software a prova di bug e di problemi di sicurezza. La procedura corretta in questi casi prevede che chi scopra il bug lo comunichi all’azienda o alla organizzazione interessata, fornendo a titolo gratuito tutte le informazioni in suo possesso e impegnandosi a non divulgare alcuna informazione prima che siano state prodotte le misure necessarie a risolvere la questione (le patch).
Seguendo questo principio, decine di hacker hanno già potuto approfittare di cospicue taglie per il proprio lavoro: IBB ha distribuito oltre 600mila dollari di taglie per oltre 600 bug scoperti e comunicati (anche in molti progetti open source). Fattore interessante, capita che chi riceva il denaro scelga di donarlo in beneficenza: è già successo diverse volte, a riprova che chi si impegna a migliorare la sicurezza e l’efficienza di Internet e dei software che la tengono in piedi lo fa spesso al solo scopo di contribuire nel suo piccolo al bene comune.
Nuovi sponsor
Facebook, Ford Foundation e GitHub si uniscono ora al programma con un contributo generoso, che si va a sommare a quello già elargito da Microsoft e altri. L’obiettivo di questa tornata sarà allargare gradualmente il focus dell’iniziativa ad altre tipologie di software: oltre ai vari PHP, Apache, Nginx e tutto quanto di fatto costituisce l’ossatura di quanto siamo abituati a usare in Rete, il programma ora comprenderà anche tecnologie per l’archiviazione e la gestione dei dati – come OpenSSL, progetto open source indispensabile per garantire la sicurezza e la openness di Internet.
Nel recente passato, il programma IBB ha già prodotto frutti molto interessanti: parecchi dei bug più noti degli ultimi anni, e tra i più pericolosi, sono stati scoperti da hacker che poi hanno ricevuto una taglia per premiarli dell’impegno profuso. Shellshock (20mila dollari), Heartbleed (15mila dollari) e ImageTragick (taglia da 7.500 dollari) sono solo alcuni esempi.