La UE ricompensa chi scova bug

Bug Bounty UE Environment

Ormai e’ una tendenza che trova sempre maggiori conferme ogni giorno che passa, infatti e’ di pochissimi giorni la nuova interessante notizia (per chi lo e’ gia e per chi vorrebbe diventare un Bug Bounty), che imparare a scovare i bug nel codice e’ un lavoro molto remunerativo.

Proprio pochi giorni fa avevamo pubblicato l’articolo FB Bug Bounty e scopriamo con interessato stupore che anche la UE ha deciso di istituire qualcosa di simile.

Come gia ampiamente affermato “non esiste software esente da bug” , non lo sono i progetti a codice chiuso e, chiaramente, non lo sono nemmeno quelli Open Source, ma con l’ovvio vantaggio che chi sa e puo’ fare, diventa facilmente un “revisore” di codice ad uso e consumo di tutti coloro che quel software decidono di usarlo.

Insomma e’ un po’ come quando si parla della Blockchain e si dice “ecco il codice, la transazione e’ li pubblica, verificatela”, o come quando si scrivono le pagine di Wikipedia, se si scrive qualcosa di inesatto, ci sara’ qualcun’altro che leggendo fara’ la correzione etc…..

A parte cio’ quale miglior modo di convincere il maggior numero possibile di programmatori (ed esperti di codice) , ad usare il proprio talento e tempo se non quello di offire delle vere e proprie “taglie” sulla testa dei Bug 😉

Questo sistema, funziona ormai talmente bene, pensiamo a coloro che scovano i famigerati zero-day per i grandi colossi (Apple, Facebook, Whatsapp, Huawei….etc), che anche la Unione Europea ha deciso di varare un proprio programma di ricompensa economica, come parte del progetto FOSSA (Free and Open Source Software Audit).

L’iniziativa è stata annunciata, con un post sul suo sito web, da Julia Reda, membro del European Pirate Party e co-fondatrice del progetto FOSSA, con il titolo:
In January, the EU starts running Bug Bounties on Free and Open Source Software

Dunque, a partire da Gennaio 2019 la Commissione Europea garantira’ finanziamenti ai progetti di “caccia al bug”, ma non per ogni progetto Open esistente al mondo, soltanto per una lista ben specifica di 15 Programmi che sono ovviamente utilizzati a livello Istituzionale ed Europeo, con ricompense che vanno da 17.000 a 90.000 euro.

La lista dei progetti open source interessati comprende parecchi software noti:

  • 7-zip
  • Apache Kafka
  • Apache Tomcat
  • Digital Signature Services (DSS)
  • Drupal
  • Filezilla
  • FLUX TL
  • the GNU C Library (glibc)
  • KeePass
  • Notepad++
  • PuTTY
  • PHP Symfony
  • VLC Media Player
  • WSO2
  • Midpoint

I ricercatori, gli sviluppatori, gli esperti di sicurezza, insomma tutti coloro i quali sono interessati a dare il loro contributo, dovranno segnalare la presenza di eventuali bug attraverso le piattaforme HackerOne e Intigriti/Deloitte.
I programmi termineranno tra il 31 luglio 2019 e il 15 aprile 2020, mentre quelli che potete leggere sulla tabella qui sotto saranno i premi in denaro per ogni software. Good Luck !!!

 

 

UE Bug Bounty Program

Facebook Bug Bounty

Facebook Bug-Bounty

Forse non molti sanno che in un periodo cosi proficuo per attacchi hacking di ogni tipo, i colossi del web, tra cui Facebook, hanno istituito interessanti premi per chiunque voglia testare la sicurezza dei loro sistemi, ed affiliati quali:

 

  • Instagram
  • Internet.org/Free Basics
  • Oculus
  • Onavo
  • Progetti open source di Facebook (ad es. osquery)
  • WhatsApp

 

Migliori spiegazioni le potete trovare alla seguente pagina https://www.facebook.com/whitehat
che riporta in modo chiaro quali sono le regole e le modalita’ di svolgimento del “Programma” WHITEHAT

Nella pratica, possiamo dire che i responsabili della sicurezza di Facebook, Instagram e compagnia bella hanno deciso che il miglior modo per verificare il loro buon operato e’ quello di lasciare “carta bianca” a tutti coloro (hacker, whitehat, pirati informatici …) che sono interessati a bucare uno dei due miliardi di account dei loro social.

La ricompensa base e’ di 500 $ ma ben piu’ alta e’ la posta se qualcuno dovesse trovare bug ben piu’ importanti come degli zero-day.

Per exploit di alto impatto , la ricompensa dovrebbe essere di, 40.000 $ se, per impadronirsi dell’account, l’attacco non richiedera’ la ben che minima interazione del proprietario, Si scende invece a 25.000 $ se l’attacco e’ in grado di andare a segno con l’interazione da parte del proprietario dell’account (magari anche solo con un click sul link sbagliato ricevuto via mail…..phishing a go-go).

Buona caccia…..

#FacebookBugBounty