mercoledì 31 agosto 2011

Facebook più sicuro con i cacciatori di Bug, pagati oltre 40mila dollari


A tre settimane dal lancio del programma 'Bug Bounty' nell’ambito del quale degli hacker vengono pagati per identificare eventuali difetti nella piattaforma, Facebook ha reso noto di aver sborsato ricompense per oltre 40 mila dollari. Il responsabile della sicurezza di Facebook, Joe Sullivan, ha commentato entusiasta l'iniziativa che ha portato a un miglioramento di molte curve del loro codice di programmazione. 

"Oggi sto scrivendo riguardo ad un recente miglioramento, il nostro programma bounty bug, che in breve tempo si è dimostrato prezioso al di là delle nostre aspettative. Siti come Facebook risiedono su Internet ed offrono una serie di servizi validi che non si realizzano in una notte. Assumiamo i migliori e più brillanti programmatori, e abbiamo attuato numerosi protocolli, come il nostro 'boot-camp' di sei settimane intensive e spinto il codice peer-reviewed, per garantire solo quello che soddisfa i nostri rigorosi standard sia attivo sul sito. Anche così, a volte il codice software contiene bug". 

"In generale, ci sono bug nel software a causa della complessità del software, errori di programmazione, cambiamenti nei requisiti, errori commessi nella gestione dei bug, documentazione limitata o problemi di strumenti di sviluppo software. Per far fronte a questo, abbiamo interi team dedicati alla ricerca e alla disabilitazione bug, e abbiamo anche noleggiato revisori esterni per aiutare a testare il nostro codice. Il nostro 'bug-a-thons' per tutta la notte ha permesso di individuare e anche risolvere i problemi", scrive Sullivan in una nota sulla pagina di sicurezza di Facebook. 

"Ci rendiamo conto, però, - prosegue Sullivan - che ci sono molti esperti di sicurezza di talento e buone intenzionati in tutto il mondo che non lavorano per Facebook. Nel corso degli anni, abbiamo ricevuto un eccellente supporto da parte di ricercatori indipendenti che ci hanno fatto capire sugli errori che hanno trovato. Un paio di anni fa, abbiamo deciso di formalizzare un programma 'whitehat' per incoraggiare i ricercatori a cercare bug e segnalarceli. Abbiamo ricevuto un feedback molto positivo quando abbiamo lanciato la nostra politica di rivelazione responsabile dello scorso anno, in cui abbiamo detto che non avremmo intrapreso azioni negative contro i ricercatori che hanno seguito la politica di segnalazione dei bug".


L'Electronic Frontier Foundation (EFF) ha elogiato l'approccio di Facebook, dice Sullivan. "Non è una sorpresa per i membri di EFF che Internet è piena di falle di sicurezza, alcuni delle quali gravi. Eppure molte aziende Internet cercano di affrontare questi problemi internamente, o per niente. Non favoriscono gli estranei a segnalare i difetti scoperti durante l'uso o il test di un sito web, e possono essere anche ostili verso coloro che rivelano fatti che non vogliono sentire. 

Ben intenzionati gli utenti di Internet hanno spesso paura di segnalare alle società le falle di sicurezza che hanno trovato - perchè non sanno se si otterranno abbondanti grazie o bollati con una causa o azione penale. Questa tensione è un peccato, perché quando le aziende imparano ciò che deve essere fissato, i servizi saranno migliori e più sicuri per i loro utenti", sottolinea Marcia Hofmann in un post sul sito di EFF. 

"Facebook si è posto oltre ad altre società Internet - prosegue Hofmann - riconoscendo il problema e lavora per superarlo. Il sito di social networking è diventato uno dei primi a pubblicare una politica destinata a rendere quelli che scoprono vulnerabilità a farsi più comodamente avanti per segnalarlo: noi incoraggiamo i ricercatori di sicurezza che identificano i problemi di sicurezza [...] È possibile segnalare problemi di sicurezza su Facebook qui. Se avete esitazioni sulla segnalazione di una vulnerabilità di Facebook o di chiunque altra, fatecelo sapere e saremo lieti di discutere le vostre preoccupazioni con voi", conclude  Hofmann. 

Facebook, per ottenere il suo scopo, ha assoldato un ampio numero di ‘esperti in sicurezza’ in oltre 16 Paesi, dalla Turchia alla Polonia, dando ad ognuno 500 dollari a Bug, con un compenso maggiore nel caso dell’identificazione di difetti estremamente compromettenti. Un cacciatore di bug (bug hunter) è riuscito infatti a guadagnare oltre 7 mila dollari grazie alla segnalazione di ben sei falle diverse, mentre un altro ancora è stato pagato 5 mila dollari grazie ad una segnalazione particolarmente importante per il sito. Joe Sullivan ha avvertito però che ci sono anche molti furbi che inviano segnalazioni fasulle solo per cercare pubblicità. Facebook ha sviluppato una serie di meccanismi che aiutano a rilevare e disattivare automaticamente applicazioni maligne o spam.

Nessun commento:

Posta un commento