Benvenuto su Inforge
Rimuovi la pubblicità e partecipa alla più grande comunità italiana sul mondo digitale presente sul web sin dal 2007.
Iscriviti

Discussione Bug Bounty: cosa sono e come partecipare

0xbro

Moderatore
24 Febbraio 2017
3,292
2,258
894
Ultima modifica:
In questo articolo approfondiremo cosa sono i Bug Bounty Program, come si partecipi ad essi, quale sia il loro funzionamento e quali le ricompense offerte.

orrjP9l.jpg


Bug Bounty: quando l'hacking contro grandi aziende diventa legale​

Tempo di lettura stimato: 3 min​






1    Che cos'è un programma Bug Bounty

Un programma bug bounty è un accordo offerto da numerose aziende, siti web e sviluppatori per cui viene concessa la possibilità a chiunque di ricercare bug, vulnerabilità e falle di sicurezza nei prodotti/servizi proposti, in cambio di un riconoscimento (spesso monetario) da parte dei possessori di tali servizi. In altre parole, un bug bounty program è un'attività per cui è consentito hackerare eticamente (cioè senza recare danni, rubare informazioni o diffondere anzitempo i propri ritrovamenti) compagnie, siti web e apparati informatici in cambio di ricompense.

Questi programmi permettono agli sviluppatori/amministratori di sistema di scoprire e risolvere i bug prima che il grande pubblico ne venga a conoscenza, evitando incidenti di sicurezza causati da uno sfruttamento diffuso del bug. Ad oggi questi programmi sono molto diffusi, soprattutto tra le grandi aziende: tra i big che hanno aderito a queste iniziative troviamo Google, Facebook, Mozilla e tanti altri.​


2    Dove trovo i programmi attualmente attivi

Press-Kit-Transparent-Bugcrowd-Logo.png

Uno dei siti più famosi e utilizzati è indubbiamente Bugcrowd. A questo portale si appoggiano numerose aziende, sia di piccole che grandi dimensioni, ed è sicuramente uno dei portali da cui partire per le proprie ricerche!

1603897992830


Un secondo sito molto rinomato è HackerOne. Come per Bugcrowd, anche HackerOne è uno dei migliori punti di riferimento per quanto riguarda le attività di bug hunting, permettendo di trovare numerose opportunità ma al contempo altrettanti rivali da battere sul tempo!​


3    Chi può partecipare

In genere i Bug Bounty sono aperti a tutti, l'unico requisito è quello di essere iscritti alla piattaforma dedicata (che può essere Bugcrowd così come HackerOne, ecc.). Nient'altro. Esistono anche programmi ristretti ai quali si può partecipare solamente tramite invito, ma tutto il resto è a disposizione del grande pubblico.
Ovviamente però per venir premiati non serve solo partecipare, servono skills e velocità! Una vulnerabilità è lì per tutti, ma solo il primo che la trova riceverà il grande premio!​


4    Le ricompense

I premi variano da azienda ad azienda e da vulnerabilità a vulnerabilità, ma in linea di massima si passa da poche centinaia di dollari a molte migliaia, come nel caso del ricercatore indipendente che trovò una vulnerabilità di account takeover su Microsoft:

Per quanto le ricompense siano molto succose, bisogna sempre tenere in considerazione che si tratta di una gara contro altri ricercatori e talvota addirittura altre aziende (sì, ci sono aziende che fanno solamente - o in parte - bug hunting).
Si può pensare che questa attività basti come unico lavoro primario? O è necessarimente un lavoro secondario?
Possono esserci mesi in cui la caccia va bene e si totalizzano somme di denaro superiori a uno stipendio medio, ma è possibile mantenere un alto livello per numerosi periodi di tempo? Probabilmente sì, c'è gente che campa solo di Bug Bounty, ma non penso che sia una dote alla portata di tutti!​

Voi cosa ne pensate? Avete mai provato a fare bug bounty? Vorreste provare?

Fatemelo sapere nei commenti!

Ah, giusto... buona caccia!




Made with ❤ for Inforge

 

NoNameoN

Utente Gold
28 Marzo 2020
481
516
286
Ne avevo sentito parlare ma non avevo mai approfondito l'argomento.
E' molto interessante come argomento e mi rendo conto che parliamo di squadre di Hacker che collaborano tra di loro, non è un "passatempo"...

Secondo me questo tipo di Hacking è bello quando lo fai per passione, ovviamente la ricompensa è necessaria, ma farlo come lavoro primario potrebbe diventare decisamente stressante e personalmente non lo farei.

"Diventare Hacker per uno stipendio" no.
"Amare la materia e provare cose nuove" si.

Tanto qualunque cosa, se fatta bene, porta le sue entrate...
 
  • Mi piace
Reactions: AnDr3A DAL3 e 0xbro

nullptr

Utente Gold
26 Novembre 2015
1,071
338
325
ma farlo come lavoro primario potrebbe diventare decisamente stressante e personalmente non lo farei.

"Diventare Hacker per uno stipendio" no.
"Amare la materia e provare cose nuove" si.
Quoto totalmente.

Vedevo persone ostentare quanto avessero guadagnato attraverso i bounties da parte di alcune aziende (tra cui Facebook, Google & co.), non parlo di poche migliaia di euro. Mi reputavo (e mi reputo) più esperto di queste persone nella cybersecurity, ed essendo molto allettato economicamente data la mia giovane età mi sono addentrato nel settore per palpare meglio il bug hunting.
Inizio... e tiè, segnalo la prima vulnerabilità alla Rockstar Games. Approvata e fixata poco dopo, ma era out of scope (nel bug bounty program specificano in quali domini fare bug hunting).
Ritento... e *leggerissimo rullo di tamburi* segnalo la seconda vulnerabilità ad Algolia. Approvata con disclosure e fixata, in scope (mi hanno dato l'hall of fame ma non il bounty, che lucky guy).

Lo puoi fare tu, lo posso fare io e lo può fare 0xbro. Magari io me la cavo ma ho un'infima pazienza e proprio per questo la maggior parte delle volte non concludo nulla. È solo questione di pazienza e fortuna: se hai pazienza con la pratica riesci a supplire alle tue mancanze nell'hacking, e se hai fortuna fai pure poker e ti danno la ricompensa. Non fa per me.
 
  • Mi piace
Reactions: St3ve e 0xbro
Supporta Inforge con una donazione
Lv.105 - Middleschool - International SV

0xbro

Moderatore
24 Febbraio 2017
3,292
2,258
894
Inizio... e tiè, segnalo la prima vulnerabilità alla Rockstar Games. Approvata e fixata poco dopo, ma era out of scope (nel bug bounty program specificano in quali domini fare bug hunting).
Ritento... e *leggerissimo rullo di tamburi* segnalo la seconda vulnerabilità ad Algolia. Approvata con disclosure e fixata, in scope (mi hanno dato l'hall of fame ma non il bounty, che lucky guy).
Azz che fortuna ahahaha

Sono d'accordo comunque, ci va davvero tanta pazienza e se poi capita che trovi qualcosa, dopo ore di fatica e scleri, e non te la riconoscono (oppure la fixano e non ti danno nulla) beh... girano e non parecchio.
A quel punto forse diventa più soddisfacente mettersi a fare ricerche autonome e magari cercare di farsi riconoscere qualche CVE
 

Thomas Shelby

Utente Gold
28 Giugno 2020
1,155
479
345
orrjP9l.jpg


Bug Bounty: quando l'hacking contro grandi aziende diventa legale​

Tempo di lettura stimato: 3 min​






1    Che cos'è un programma Bug Bounty

Un programma bug bounty è un accordo offerto da numerose aziende, siti web e sviluppatori per cui viene concessa la possibilità a chiunque di ricercare bug, vulnerabilità e falle di sicurezza nei prodotti/servizi proposti, in cambio di un riconoscimento (spesso monetario) da parte dei possessori di tali servizi. In altre parole, un bug bounty program è un'attività per cui è consentito hackerare eticamente (cioè senza recare danni, rubare informazioni o diffondere anzitempo i propri ritrovamenti) compagnie, siti web e apparati informatici in cambio di ricompense.

Questi programmi permettono agli sviluppatori/amministratori di sistema di scoprire e risolvere i bug prima che il grande pubblico ne venga a conoscenza, evitando incidenti di sicurezza causati da uno sfruttamento diffuso del bug. Ad oggi questi programmi sono molto diffusi, soprattutto tra le grandi aziende: tra i big che hanno aderito a queste iniziative troviamo Google, Facebook, Mozilla e tanti altri.​


2    Dove trovo i programmi attualmente attivi

Press-Kit-Transparent-Bugcrowd-Logo.png

Uno dei siti più famosi e utilizzati è indubbiamente Bugcrowd. A questo portale si appoggiano numerose aziende, sia di piccole che grandi dimensioni, ed è sicuramente uno dei portali da cui partire per le proprie ricerche!

1603897992830


Un secondo sito molto rinomato è HackerOne. Come per Bugcrowd, anche HackerOne è uno dei migliori punti di riferimento per quanto riguarda le attività di bug hunting, permettendo di trovare numerose opportunità ma al contempo altrettanti rivali da battere sul tempo!​


3    Chi può partecipare

In genere i Bug Bounty sono aperti a tutti, l'unico requisito è quello di essere iscritti alla piattaforma dedicata (che può essere Bugcrowd così come HackerOne, ecc.). Nient'altro. Esistono anche programmi ristretti ai quali si può partecipare solamente tramite invito, ma tutto il resto è a disposizione del grande pubblico.
Ovviamente però per venir premiati non serve solo partecipare, servono skills e velocità! Una vulnerabilità è lì per tutti, ma solo il primo che la trova riceverà il grande premio!​


4    Le ricompense

I premi variano da azienda ad azienda e da vulnerabilità a vulnerabilità, ma in linea di massima si passa da poche centinaia di dollari a molte migliaia, come nel caso del ricercatore indipendente che trovò una vulnerabilità di account takeover su Microsoft:

Per quanto le ricompense siano molto succose, bisogna sempre tenere in considerazione che si tratta di una gara contro altri ricercatori e talvota addirittura altre aziende (sì, ci sono aziende che fanno solamente - o in parte - bug hunting).
Si può pensare che questa attività basti come unico lavoro primario? O è necessarimente un lavoro secondario?
Possono esserci mesi in cui la caccia va bene e si totalizzano somme di denaro superiori a uno stipendio medio, ma è possibile mantenere un alto livello per numerosi periodi di tempo? Probabilmente sì, c'è gente che campa solo di Bug Bounty, ma non penso che sia una dote alla portata di tutti!​

Voi cosa ne pensate? Avete mai provato a fare bug bounty? Vorreste provare?

Fatemelo sapere nei commenti!

Ah, giusto... buona caccia!




Made with ❤ for Inforge

Grande! Bellissimo approfondire questo argomento, ne sapevo poco e mi hai dato diverse informazioni interessanti ;)
 
Supporta Inforge con una donazione
Lv.105 - Middleschool - International SV

Colabrodo

Utente Bronze
23 Ottobre 2016
68
18
47
Ma le aziende come inquadrano fiscalmente questa rincompensa? Attraverso un concorso? In italia non si possono ricevere premi in denaro. Se mandano soldi normalmente poi bisogna dichiarare con una partita iva e pagarci le tasse.
 

0xbro

Moderatore
24 Febbraio 2017
3,292
2,258
894
Ma le aziende come inquadrano fiscalmente questa rincompensa? Attraverso un concorso? In italia non si possono ricevere premi in denaro. Se mandano soldi normalmente poi bisogna dichiarare con una partita iva e pagarci le tasse.
Fino a 5k annui non serve partita IVA, ti fai fare una ritenuta d'acconto e sei in regola. Dopo i 5k serve però la partita IVA
 
Supporta Inforge con una donazione
Lv.105 - Middleschool - International SV