Un ottimo sistema per trovare (e riparare) i bug degli open source
di Michele Pinassi
“In January, the EU starts running Bug Bounties on Free and
Open Source Software” (Julia Reda)
SIENA. Tra le iniziative più interessanti degli ultimi mesi c’è sicuramente l’iniziativa dell’UE in merito al bug bounty dedicato ai più famosi software open-source. L’iniziativa mira ad incrementare la sicurezza del software, proseguendo l’iniziativa EU-FOSSA –Free and Open Source Software Audit– nata nel 2014 dietro la forte spinta del Partito Pirata Europeo e Julia Reda, l’europarlamentare di riferimento di questa forza politica.
Dei programmi di bug-bounty avevamo già parlato qualche mese fa, a proposito dell’iniziativa svizzera sul voto elettronico, raccontando come per molte aziende questa sia una strategia efficace per migliorare la sicurezza dei propri prodotti.
Istituzione al servizio della collettività
La vera innovazione è vedere una istituzione pubblica, l’Unione Europea, finanziare un programma di ricerca degli errori in software liberi, che sono usati da milioni di cittadini quotidianamente e che, quindi, hanno una rilevanza molto importante nella vita di ognuno di noi.
Nell’elenco dei software sottoposti a questo programma vediamo il famoso player video VLC, l’emulatore di terminale PuTTY, il password manager KeePass, il CMS Drupal ma anche la libreria libc del progetto GNU, usata in decine di migliaia di software, compresi kernel e prodotti commerciali.
Quanto ci costa la (non) sicurezza
Secondo alcune ricerche, i costi delle violazioni informatiche nelle Reti sono in continuo, vertiginoso, aumento: “Nel caso di una violazione rilevata quasi immediatamente (meno di un’ora), i costi dell’attacco si aggirano attorno ai 25 mila euro, destinati a salire a oltre 100 mila euro nel caso in cui passi una settimana dall’attacco al suo rilevamento”. PMI, i costi della (mancata) sicurezza informatica, Libero.it
Sono costi economici enormi, in continua crescita, a cui si aggiungono tutte le truffe, violazioni e furti perpetrati ai danni di privati cittadini, attraverso malware, phishing e scamming, spesso causati da errori nel software che permettono ai malintenzionati di perpetrare questi attacchi.
Solo il phishing, tanto per dare qualche dato, ha un costo stimato di circa 1,6$ milioni per ogni attacco: vanno infatti considerati i danni di immagine, le perdite economiche dirette e indirette della truffa, la perdita del tempo….
Impatto importante
Sono convinto che l’impatto di questa iniziativa sarà enorme, anche sul piano economico, proprio perché attraverso un investimento di questo tipo, elargito in modo realmente meritocratico solo a chi riesce a scovare un errore nei software indicati (permettendone, così, la correzione) si migliora la sicurezza (informatica) generale.
Attraverso iniziative come questa, infatti, si incoraggiano gli sviluppatori e bug hunter di talento ad impegnarsi per la collettività, ottenendo in cambio un ritorno economico. Che è sicuramente di molto inferiore al costo che tali errori hanno per le aziende ed i cittadini.
Il grande vantaggio dato dal software libero (FOSS – Free Open Source Software) è anche la disponibilità, pubblica e libera, dei sorgenti, che permette una analisi più approfondita del codice e della sua qualità: questo consente a chiunque, sia professionisti che apprendisti desiderosi di imparare, di cimentarsi nell’analisi, correzione e miglioramento del codice.
Partecipare
Esistono già le piattaforme per tutti coloro che vogliono partecipare ai programmi di bug-bounty organizzati da aziende ed altri Enti. Per questa iniziativa, è stato scelto di appoggiarsi a due dei maggiori portali, come HackerOne e Intigriti. Il contest non è ancora attivo: partirà tra pochissimi giorni, il 7 gennaio, la prima trances che vede in gara software del calibro di Filezilla, Apache Kafka, Notepad++, PuTTY e VLC.
Pronti a fare gli hackeroni?