Aiutateci a migliorare la nostra sicurezza con Bug Bounty!

Il programma per la ricerca dei bug di sicurezza sulle infrastrutture OVH è accessibile a tutti sulla piattaforma bountyfactory.io. Obiettivo: migliorare costantemente la sicurezza dei servizi offerti dal leader europeo del Cloud.

Presentato sabato 2 luglio in occasione della quattordicesima edizione della "Nuit du Hack", il Bug Bounty OVH permette a chiunque sia interessato alla sicurezza informatica di segnalare eventuali bug rilevati su API e Spazio Cliente OVH. Testato internamente, questo programma è disponibile sulla piattaforma bountyfactory.io. Il principio è semplice: tutti i bug segnalati vengono analizzati dai team che si occupano della sicurezza e, se necessario, corretti. Tutte le segnalazioni accertate danno diritto a una ricompensa.

Per attirare i migliori nel Bug Bounty OVH, le ricompense possono raggiungere fino ai 10.000 euro. Le segnalazioni accertate vengono ricompensate non solo economicamente ma anche con omaggi promozionali o voucher per li bug esterni al perimetro.

"Per attirare i migliori nel Bug Bounty OVH, le ricompense possono raggiungere fino ai 10.000 euro. Le segnalazioni accertate vengono ricompensate non solo economicamente ma anche con omaggi promozionali o voucher per li bug esterni al perimetro."

La sicurezza, al centro delle priorità di OVH

Dalla sua creazione 17 anni fa, per OVH la sicurezza è sempre stata una priorità. La segnalazione delle falle era già possibile scrivendo all'indirizzo email security[at]ovh.net, che ha già permesso di correggere numerosi bug. Per Vincent Malguy del team SOC (Security Operation Center), "il lancio pubblico del Bug Bounty è il risultato di molti anni di riflessione. È la realizzazione della piattaforma bountyfactory.io che ha consentito di concretizzare il progetto voluto da Octave Klaba". Le piattaforme di Bug Bounty esistenti fino ad oggi erano tutte americane e per una società come OVH, fortemente legata alla sovranità dei dati, non era possibile archiviare la lista di queste vulnerabilità fuori dal territorio nazionale. La piattaforma che consente a OVH di utilizzare questo programma è ospitata internamente sul Dedicated Cloud, infrastruttura certificata ISO 27001 da diversi anni.

Adesso, la piattaforma è aperta a tutti. Chiunque, specialista in sicurezza informatica o semplice appassionato, può partecipare: basta creare un account e segnalare la vulnerabilità individuata. La segnalazione arriva immediatamente al team SOC, che individua un'eventuale soluzione e invia la risposta. La velocità di risposta di OVH è sicuramente uno degli elementi chiave del programma. Altro vantaggio, i white hat vengono ricompensati per il loro lavoro in una settimana al massimo. OVH si è prefissata una semplice regola: se una notifica richiede una patch, la persona che ha inviato la segnalazione riceve una ricompensa. Questa regola garantisce la trasparenza nei confronti della Community dei white hat, senza i quali questo programma non avrebbe nessuna importanza. Oltre a contribuire a una comunicazione più fluida, la piattaforma bountyfactory.io permette a OVH di gestire in modo controllato e in totale trasparenza le falle di sicurezza individuate.

"Il Bug Bounty potenzia il nostro arsenale di sicurezza"

L’apertura al pubblico della ricerca delle falle di sicurezza completa le misure applicate dal leader europeo del Cloud per garantire la sicurezza delle infrastrutture e dei dati dei clienti. Ogni anno OVH esegue numerosi test di intrusione interni ed esterni, che permettono di assicurare che i sistemi più critici rispondano alle esigenze più elevate. Per coprire l'insieme dei prodotti OVH e ridurre al minimo l'esistenza di problemi di sicurezza, la società ha deciso di istituzionalizzare e stardardizzare la procedura associata alle segnalazioni pubbliche: "Con il Bug Bounty possiamo testare costantemente tutte le nostre infrastrutture utilizzando profili e competenze diversi. Non potremmo mai coprire tutte le gamme per un periodo così lungo con controlli classici", ricorda Vincent.

Il rafforzamento delle procedure di sicurezza passa anche per una serie di certificazioni, tra cui l'ISO 27001 e ISO 27017, la norma per l'hosting di dati finanziari PCI DSS o la certificazione associata ai dati sanitari attualmente in corso di ottenimento. L'insieme di questi tool e certificazioni permettono ai clienti OVH di salvare in assoluta serenità i propri dati e applicazioni nei datacenter OVH.

Esperti API WANTED

Al momento il Bug Bounty riguarda solo i problemi di sicurezza individuati sulle API e sullo Spazio Cliente OVH, ma presto dovrebbe essere esteso ad altri prodotti OVH. Per il team SOC è importante che i partecipanti al Bug Bounty conoscano le basi principali delle nostre API per trovare i bug più rilevanti: "il linguaggio di programmazione utilizzato è principalmente Perl, con chiamate su micro API scritte in Python" spiega Vincent, tutti i dati sono salvati su database PostgreSQL e MySQL. Le operazioni che gestiscono la configurazione delle risorse richieste sono gestite da sistemi automatici: concretamente, significa che le operazioni vengono eseguite da processi asincroni. In base ai prodotti, i protocolli di comunicazione e le azioni effettuate possono variare dall'esecuzione di uno script bash alla chiamata di un powershell. Il sistema operativo più utilizzato in OVH è Debian, e la maggior parte dei team utilizzano le protezioni del kernelgrsecurity.

"Un solo report che dimostra l'esecuzione di un codice su uno dei nostri server permetterà di mettersi in tasca 10.000 euro. Sarà necessario trovare 200 bug XSS per arrivare allo stesso risultato..."

"Anche se l'oscurità non è mai stata ritenuta un mezzo di difesa, è difficile dire di più senza rivelare dettagli sulle nostre infrastrutture," spiega Vincent. "Quello che possiamo dire, è che abbiamo a disposizione una quantità impressionante di tool per l'identificazione delle vulnerabilità che utilizziamo regolarmente sulle nostre infrastrutture. Chi utilizza questi tipi di tool per trovare un bug, deve considerare che sicuramente noi lo abbiamo già analizzato, quindi questa segnalazione non consentirà di ottenere una grossa ricompensa. Lo diciamo chiaramente: consigliamo di uscire dai sentieri più battuti e di concentrarsi sulla qualità. Un solo report che dimostra l'esecuzione di un codice su uno dei nostri server permetterà di mettersi in tasca 10.000 euro. Sarà necessario trovare 200 bug XSS per arrivare allo stesso risultato..."

Participa al Bug Bounty