Bug Bounty OVH, solo due anni di vita ed è già un fuoriclasse!

Due anni fa OVH decideva di lanciare un programma per rafforzare ancor di più il dispositivo a favore della sicurezza. Scommessa vincente con 170 bug accertati e una community di cacciatori di bug sempre più coinvolta e in costante crescita.

Annunciato durante la quattordicesima edizione de “La Notte degli Hacker”*, il Bug Bounty OVH è stato lanciato nel giugno 2016. Da allora, oltre 120 cacciatori di bug hanno segnalato 695 bug, 170 dei quali sono stati accertati. Un’iniziativa che permette a OVH di poter fare progressi ogni giorno nella messa in sicurezza dei servizi e dei prodotti. Secondo Nassim Abbaoui, Pentester di OVH, "il nostro programma di Bug Bounty interviene in aggiunta al nostro dispositivo e a tutte le competenze impiegate per garantire ai nostri clienti la massima sicurezza. Il programma consente di appoggiarsi su una community di cacciatori di bug, hunters in inglese, specialisti e appassionati che contribuiscono alla ricerca di ogni piccola vulnerabilità."

 

Sicurezza a 360°

Il contributo dei cacciatori di bug è talmente interessante che molto spesso i bug riguardano falle di nicchia difficili da scovare data la grande quantità di servizi da monitorare. Una volta che queste falle vengono studiate e accertate, i team interessati si adoperano per risolverle nel più breve tempo possibile. Il perimetro del Bug Bounty OVH copre i sistemi e i prodotti del Gruppo, escludendo le vulnerabilità che coinvolgono la negazione del servizio o il social engineering. Naturalmente sono escluse da questo perimetro anche le infrastrutture dei clienti OVH.

Tra i bug accertati, non sorprende il fatto che circa un terzo sia costituito da cross-site scriptings (XSS), una delle vulnerabilità più comuni legate alle applicazioni web. Seguite dalle iniezioni XML per il 14%. "La tipologia dei nostri bug è standard per la nostra attività, spiega Nassim. La constatazione più interessante dal punto di vista tecnico è che nessuna vulnerabilità di tipo SQL injection sia stata risolta in due anni, e questo dimostra una buona sensibilizzazione da parte degli sviluppatori di fronte a questo tipo di falle nella sicurezza».

 

Premi e reputazione

Per i cacciatori di bug (o white hats) l‘interesse risiede nei riconoscimenti concessi in funzione alla pertinenza dei bug rivelati e alla qualità delle soluzioni proposte. In due anni di esistenza, alcuni riconoscimenti hanno perfino raggiunto i 100.000 euro. "I cacciatori di bug sono premiati anche tramite un sistema di punti che consolida la loro reputazione e permette loro di accedere ad alcuni programmi di Bug Bounty privati", precisa Nassim Abbaoui. La community cresce giorno dopo giorno e riunisce un gran numero di professionisti ed esperti appassionati, che vogliono dimostrare le proprie competenze e farsi conoscere nell'ambito della sicurezza informatica.

 

Un posizionamento decisamente europeo

Per il suo programma Bug Bounty, OVH avrebbe potuto associarsi a una piattaforma americana. Ma abbiamo deciso di optare per una piattaforma europea che rispetta una legislazione severa in materia di rispetto della privacy, bountyfactory.io. Per Hugo Duval, Developer nel team Sicurezza di OVH, "è anche un modo per non dover sottostare a disposizioni come il Freedom Act (ex Patriot Act), che potrebbero obbligarci a fornire al governo americano informazioni sulle nostre infrastrutture, con il pretesto delle misure antiterrorismo." D’altronde, la piattaforma utilizzata da OVH, che è peraltro la stessa scelta da Qwant, Orange e BlaBlaCar è a sua volta ospitata su una sulla soluzione Private Cloud OVH.

Creati all’inizio degli anni ‘90 da Netscape, i programmi di Bug Bounty si sono sviluppati dalla maggior parte dei principali leader IT. Anche alcuni giganti tra i più scettici come Apple o Microsoft hanno preso coscienza del contributo di queste soluzioni comunitarie. "Ora sono rimasti solo in pochi a non aver ancora fatto questo passo...", conclude Hugo Delval.

 

*Anche quest’anno OVH è sponsor della Notte degli Hacker, la più grande convention francese dedicata alla sicurezza informatica, con l'infrastruttura per il wargame.