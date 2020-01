Per creare un buon prodotto informatico, oltre ad investire in grandi team di sviluppo, bisogna ricordarsi del prodotto anche dopo averlo lanciato sul mercato. Il rischio? Tutti i sistemi sono attaccabili, e ad essere messi a rischio sono sia i dati degli utenti che la reputazione dell’azienda.

A questo ne è sicuramente attenta Google e ha trovato dei validi aiutanti in questo compito, il suo programma di bug bounty. Tanto utile e apprezzato dalla comunità di white hat da produrre solo nel 2019 un mercato di 6.5 milioni di dollari.

Ma tutte queste parole strane cosa significano? Scopriamolo insieme.

White hat e bug bounty

Facciamo un esperimento. Se vi dico la parola hacker, a cosa pensate? Se non siete molto appassionati del settore, la migliore ipotesi è un riferimento a Mr. Robot oppure ad un adolescente disadattato con il cappuccio in casa che batte sulla tastiera come un matto e distrugge tutti i sistemi informatici del mondo.

Mi dispiace dirvelo, ma non è proprio così. Un hacker è una figura a tutto tondo, in grado di esplorare aspetti dei sistemi sconosciuti ai più. Ma come questa attività può essere svolta per trarre un vantaggio personale, in tantissimi si impegnano in un utilizzo etico di queste conoscenze.

Distinguiamo quindi due principali tipologie di hacker: i white hat e i black hat. I black hat violano illegamente i sistemi informatici, mentre i white hat si inseriscono in un sistema o in una rete per aiutare i proprietari a prendere coscienza di un problema di sicurezza.

E una delle attività che le aziende propongono per tenere sotto controllo i bug di sistema sono proprio i programmi bug bounty. I vari siti e sviluppatori software offrono riconoscimenti e ricompense in denaro per le segnalazioni, evitando che queste diventino di dominio pubblico prima di un eventuale disastro. A partecipare a questi programmi non è solo Google, ma anche Facebook, Yahoo!, Snapchat, Apple, Mozilla, Oracle Corporation e Intel. Le ricompense possono variare tantissimo, da qualche centinaio di dollari a milioni di dollari.

Google nel 2019

L’importo totale di 6.5 milioni è stato spalmato in varia misura sui programmi Google, Android, in Chrome e in Google Play. La ricompensa singola più alta è stata di 200 mila dollari, e hanno collaborato con più di 400 ricercatori di bug.

L’investimento di quest’anno è stato quasi il doppio di quello del 2018 (3.4 milioni), trend su cui si erano stabilizzati negli anni (nel 2017 $2.9M, nel 2016 $3M e nel 2015 $2M).

Per chiudere, non possiamo che concordare che con queste parole che l’azienda di Mountain View ha pubblicato in un blog post: