Cos'è un programma di taglie bug?. Con oltre $1,5 miliardi di criptovaluta rubata nel 2018, l'industria si è dimostrata un paradiso per gli hacker. Tutti i discorsi della tecnologia blockchain sicura non lo rendono a prova di proiettile. E per quanto riguarda i software secondari come i fornitori di portafogli e gli scambi, molti rimangono ancora tristemente vulnerabili. E' qui che entrano in gioco iniziative preventive come un programma di taglie di bug.
Cos'è esattamente un programma di taglie per bug?
In realtà, "bug bounty' è diventata la parola d'ordine. Altri nomi per questo tipo di attività di sicurezza informatica sono l'hacking etico, l'hacking white hat, il programma di premi di vulnerabilità (VRP) e così via.
Tuttavia, la differenza chiave tra un programma di bounty bug e white hat hacking è che il programma è avviato dalla società stessa. Invitano attivamente gli hacker a cercare difetti nel loro sistema e a compensarli quando lo fanno.
Molti siti web e fornitori di software pagano un sano compenso agli hacker etici che trovano difetti e li segnalano. Le segnalazioni di bug devono contenere informazioni sufficienti per consentire all'azienda di riprodurre la vulnerabilità stessa.
Il risarcimento è in base alle dimensioni e alle dimensioni della vulnerabilità e all'impatto che potrebbe avere. Secondo le fonti, Mozilla di solito pagava una tassa fissa di $3.000 per taglia, mentre Facebook ha pagato fino a $20.000. Apple ha persino sborsato fino a $200.000 per un difetto nei suoi componenti del firmware di avvio sicuro iOS.
Fermare gli hacker prima che il danno sia fatto
Rimanere un passo avanti rispetto agli hacker è essenziale. Ecco perché le aziende blockchain dovrebbero sempre avere una sorta di programma di bug bounty o Continuando Crowdsource Security Assessment (OCSA). Tuttavia, secondo la ricerca sui primi 100 scambi di criptovalute, solo il 13% di loro lo fa.
I programmi di taglie degli insetti sono di solito molto efficaci, ma possono essere controversi. Dopotutto, stai essenzialmente incentivando attività illegali - o peggio, incoraggiando gli hacker che già rubano fondi per guadagnarsi da vivere in più.
Detto questo, un programma di bug bounty può anche portare a lavoro e relazioni durature, come nel caso degli specialisti della sicurezza informatica Red4Sec e NEO.
Un esempio di hacking etico come servizio
Secondo i co-fondatori di Red4Sec, Fernando Díaz Toledano e Jaime Kindelan, i programmi di bug bounty sono ancora più rilevanti in blockchain rispetto alle tradizionali applicazioni internet. Perché? A causa dell'immutabilità della blockchain.
Jaime spiega: “La differenza principale è che se commetti un errore con blockchain, è immutabile. Quindi, se trovi un problema, è molto più difficile da risolvere. La blockchain è progettata per non essere modificata. Quindi è molto più importante essere consapevoli di tutti i potenziali problemi nella fase iniziale.”
Fernando riecheggia le sue parole: “Se trovi un difetto nella blockchain, non è così facile cambiarlo. È già scritto nella blockchain, non è come il web. Come con gli hack, una volta che i fondi sono andati, se ne sono andati. Quindi è molto più importante concentrarsi sulla sicurezza e sulla prevenzione nella fase iniziale.”
Questo è dove entra in gioco l'hacking etico (o bounties bug). Il team Red4Sec offre servizi di sicurezza informatica tradizionali per molti anni. Ma, appassionati delle nuove tecnologie e sempre alla ricerca di saperne di più, hanno iniziato ad analizzare blockchain nel 2017 e hanno deciso di concentrarsi su NEO.
Jaime ricorda: “Attraverso la nostra analisi, abbiamo trovato un paio di vulnerabilità importanti e le abbiamo segnalate al NEO. Gli è piaciuto come l'abbiamo fatto, ci hanno dato un risarcimento e una prova di tre mesi che monitora la loro blockchain. Da allora, abbiamo continuato a lavorare con loro e con gli sviluppatori della Città di Sion.”
Fernando interrompe: “Abbiamo un ottimo rapporto con loro ora, in realtà siamo membri della Città di Sion e siamo anche membri del core team di sviluppo NEO. Siamo molto vicini.”
Mettiti nei panni di un hacker
Chiedo qual è la prima cosa che fanno quando cercano modi per hackerare una blockchain. E per i lettori che non lo sapevano, è un mito che i blockchain non possono essere hackerati. È solo che lo sforzo vs i compromessi di ricompensa sono più alti su alcune blockchain rispetto ad altri.
Hacking la blockchain Bitcoin, ad esempio, è tecnicamente possibile, ma richiederebbe le risorse di un piccolo paese e la vincita sarebbe inferiore alla spesa. Le blockchain più piccole e certamente le blockchain private sono obiettivi molto più facili.
Jaime continua: “Quello che facciamo è analizzare il codice dell'applicazione, il contratto intelligente o la blockchain stessa e garantire che non ci siano vulnerabilità di sicurezza.
“Poi facciamo una fase auditoriale.... Ci mettiamo nei panni dell'hacker e cerchiamo di pensare a come un hacker attaccherebbe e a come ruberebbe i soldi. Una volta trovato il modo di entrare, la correggiamo in modo che la finestra di opportunità sia sparita.”
Pensieri finali
Bug bounties, hacking etico e qualsiasi tipo di programma che trova difetti prima degli hacker è vitale per la continua sicurezza e l'evoluzione della tecnologia blockchain.
Aziende come Red4Sec hanno certamente molto lavoro considerando il semplice volume di violazioni e hack in scambi, blockchain e contratti intelligenti. Tuttavia, anche contemplando una superficie di attacco sempre più ampia, questa squadra non è scoraggiata. Credono ancora che la blockchain sia il futuro e che tutte le applicazioni alla fine migreranno ad esso.
E mentre ci sono molte violazioni, Fernando termina con una nota positiva: “Quando abbiamo iniziato nella sicurezza blockchain, abbiamo sicuramente visto molti progetti che erano lassici con la loro sicurezza e non ci hanno guardato abbastanza. Ultimamente abbiamo visto molta più consapevolezza sulla sicurezza, e sta decisamente migliorando.”
Disclaimer: The views and opinions expressed by the author should not be considered as financial advice. We do not give advice on financial products.