Da qualche anno, il concetto di hacking etico ha iniziato a prendere una nuova forma, grazie a programmi di Bug Bounty, Responsable Disclosure e possibilità di segnalare vulnerabilità (ad alcuni enti) senza dover avere il timore di una denuncia per accesso abusivo ad un sistema informatico.

Come ben si è capito, essere sicuri al 100% non è possibile. Chiunque, dopo un Penetration Testing o un Vulnerability Assesments, assicuri un rischio di essere attaccati e vedersi violati i sistemi pari a zero, non ha capito ancora nulla di sicurezza informatica. Questo a causa di diversi motivi:

• Un attaccante esterno potrebbe aver maggiore conoscenza di attacchi e vulnerabilità, basta vedere il recente caso di Hacking Team;
• Un attaccante potrebbe avere un budget economico pressochè illimitato. Questo implica l’aver più attaccanti verso un unico target;
• La riduzione delle vulnerabilità è un problema umano, mentre la riduzione del rischio no. Gli approcci basati sul rischio che preparano per eventi estremi sono focalizzati sull’acquisire informazioni probabilistiche sugli eventi stessi. Questo implica che non è possibile includere eventi estremi che, probabilisticamente, potrebbero avvenire.

La soluzione, almeno da parte di multinazionali ed enti, è stata quella di affidarsi a programmi di Bug Bounty, in modo tale da ridurre la probabilità e la superficie di attacco, grazie a centinaia ( se non migliaia ) di ricercatori che, pressoché gratuitamente, sfidano le loro capacità e la capacità dell’infrastruttura di resistere agli attacchi, in cambio di ricompense, monetarie e non.

Oltre ad esserci diversi siti che ospitano programmi appositi, come Hackerone o Bugcrowd, dove vengono pubblicati quotidianamente report di vulnerabilità, alcuni poco rilevanti, altri potenzialmente devastanti, altri enti hanno deciso di avviare un programma per conto loro, come CERT-EUROPA, che pubblica i nomi e i contatti di chi ha segnalato potenziali vulnerabilità nella rete dello stesso.

Recentemente mi ha sorpreso decisamente in positivo un azienda italiana (Telecom Italia) che ha deciso di aprire il proprio programma di Responsible Disclosure, permettendo la segnalazione di vulnerabilità identificate nella loro infrastruttura, aumentando di fatto la sicurezza della stessa, visto che in molti, nello scorso mese, sembra abbiano effettuato segnalazioni.

Tempo fa, si riportava che anche il Team per la Trasformazione Digitale era all’opera per un programma del genere , ne vedremo mai l’effettiva pubblicazione?

I miei complimenti vanno, per ora, alla Telecom e al team che gestisce le segnalazioni. In brevissimo tempo hanno gestito la mia e patchato la vulnerabilità segnalata. La mia speranza è ora quella di poter fare altri articoli con altre aziende o enti italiani che seguiranno la stessa strada.