Skip to Content

Wednesday, September 18th, 2019

Quanto guadagna un hacker a caccia di bachi La Stampa

Closed
by January 23, 2018 General

© Fornito da La Stampa

Sotto i 35 anni, autodidatta, motivato da passione, ma con la possibilità di guadagnare molto bene dalla propria attività, quasi tre volte di più di un ingegnere informatico; e poi, preferibilmente americano, indiano, australiano, russo e britannico. È il ritratto degli hacker che si dedicano alla ricerca di bachi, di falle nel codice, errori o difetti che potrebbero metterne a rischio la sicurezza. E che in cambio della loro segnalazione ricevono una ricompensa, un bug bounty, letteralmente una “taglia su un baco”. Nello specifico, l’espressione indica un programma con cui le aziende pagano la scoperta di vulnerabilità nei loro software, in modo da metterci una pezza prima che un attaccante malintenzionato possa trovarle e usarle.

Programmi che si sono moltiplicati negli ultimi anni, anche attraverso piattaforme indipendenti che fanno da tramite tra le aziende, da un lato, e i ricercatori di sicurezza, dall’altro. Ora proprio una di queste, HackerOne, forse la più nota e autorevole, con quasi 1700 partecipanti, ha pubblicato un’analisi dei propri iscritti, 2018 Hacker Report, “l’indagine più approfondita mai condotta sulla comunità di hacker etici”, dichiara il rapporto. Ne emerge una fotografia dettagliata, anche in termini economici.

Il flusso dei soldi

Il dato più interessante è infatti chi paga chi. Le aziende che più incentivano i bug bounty stanno negli Stati Uniti, che supera tutti gli altri Paesi, avendo veicolato (solo tramite HackerOne) quasi 15 milioni di dollari di premi. In seconda posizione, lontanissimo, il Canada con poco più di un milione. Poi spiccano la Germania con 450mila dollari. La Russia con 308mila. E Singapore, UK, Emirati Arabi Uniti e Finlandia.

Questi flussi di soldi di ricompensa in tasca di chi vanno? Soprattutto a ricercatori statunitensi e indiani. Poi australiani, russi, britannici. E ancora: hacker di Hong Kong, Svezia, Germania, Argentina, Pakistan.

(Grafici tratti dal report di HackerOne)

I ricercatori che vanno a caccia di vulnerabilità possono guadagnare molto bene. In media, 2,7 volte rispetto allo stipendio medio di un ingegnere informatico nel proprio Paese, riferisce il rapporto. Gli indiani arrivano addirittura a guadagnare 16 volte tanto. Gli argentini 15 volte e mezzo, gli egiziani otto volte. Gli italiani, sulla media di Stati europei come i Paesi Bassi e la Germania, 1,7 volte. Per chi vive in certe regioni, dunque, l’hacking può essere una attività molto allettante. Specie se riesce ad avere uno sbocco sul mercato delle vulnerabilità. Del resto, un quarto degli intervistati ricava metà del proprio reddito dalle ricompense per aver trovato delle falle. E un elitario tre per cento arriva a guadagnare più di 100mila dollari l’anno.

Nel complesso, stiamo parlando di un segmento di popolazione molto giovane. Più del 90 per cento ha meno di 35 anni (e il 45 per cento meno di 24). Inoltre, il 58 per cento si definisce autodidatta, anche se molti hanno studiato informatica. I soldi sono una motivazione importante, ma non l’unica e nemmeno la prima: contano la voglia di imparare, di superare i propri limiti e di divertirsi. Così almeno hanno risposto gli interessati. Del resto, lo studio precisa fin dall’inizio i termini del discorso: hacker è “chi ama la sfida intellettuale di superare creativamente dei limiti”. E ancora: “Siamo nell’età degli hacker. Sono elogiati come eroi, discussi ogni giorno sui media, rappresentati come cattivi a volte, e ritratti da Hollywood – tutto tranne che ignorati”.

Il ruolo delle aziende

Tuttavia, il dato più preoccupante che esce dalla ricerca, e che non andrebbe ignorato, è un altro. Ovvero che ancora molte aziende non sono attrezzate per ricevere segnalazioni di questo tipo. Tanto che un ricercatore su quattro non ha riferito una vulnerabilità che aveva trovato perché l’organizzazione interessata non aveva canali adeguati per essere contattata.

Eppure le imprese dovrebbero sapere che spesso i ricercatori scelgono di analizzare proprio il loro software perché hanno un debole nei loro confronti, e non perché siano ostili. “Perché scegli di hackerare una certa compagnia?”, domanda l’indagine a un certo punto. Il 13 per cento risponde “perché mi piace quell’azienda”, e solo il 2,1 dà la motivazione opposta. Ovviamente la presenza di bounty, di una ricompensa, conta molto: il 23 per cento. Ma anche la sfida e la possibilità di apprendere cose nuove sono motivazioni con una percentuale molto alta, sul 20 per cento.

Negli ultimi anni i programmi di bug bounty si sono moltiplicati. Molte aziende tecnologiche – come Google, Microsoft e Apple – hanno iniziato a premiare le segnalazioni più importanti, e il valore dei premi è progressivamente cresciuto. Il colosso di Mountain View nel 2016 ha pagato 3 milioni di dollari in “taglie” a 350 ricercatori per mille vulnerabilità. L’anno prima aveva sborsato 2 milioni. Nel 2014 solo 1,5.

La maggior parte di queste ricompense vanno dai mille ai 5mila dollari. Due giorni fa però Google ha staccato un assegno da 112.500 dollari a un ricercatore cinese per due bachi critici relativi al sistema operativo Android che avrebbero permesso a un attaccante di violare uno smartphone Pixel attraverso un link malevolo. È il singolo pagamento più elevato eseguito finora dall’azienda.

Ma ci sono anche organizzazioni governative che hanno adottato questa pratica. Un caso di successo è stato quello del Pentagono, che dopo aver lanciato il programma Hack The Pentagon nel 2016 ha messo a posto più di tremila bachi, di cui un centinaio particolarmente critici. Nel complesso ha pagato 300mila dollari agli hacker che hanno fatto segnalazioni utili.

In Italia alcuni mesi fa il Team per la Trasformazione Digitale, istituito presso la Presidenza del Consiglio dei Ministri e guidato da Diego Piacentini, aveva rilasciato una bozza di una policy nazionale per definire le procedure di una divulgazione responsabile di vulnerabilità dei software. Per indicare cioè delle linee guida per la pubblica amministrazione da adottare per la segnalazione di falle. Ora il gruppo di lavoro italiano si sta coordinando con altri soggetti in Europa dove a settembre è stata lanciata una task forceper la creazione di una policy comune di “divulgazione coordinata”, tema che rientra nella strategia sulla cybersicurezza della Commissione europea, presentata a settembre. “Si sta lavorando a livello europeo per mettere tutti gli attori d’accordo e i tasselli al posto giusto; a breve usciremo con un rapporto e delle attività di sensibilizzazione”, commenta a La Stampa Gianluca Varisco, consulente per la cybersecurity nel Team per la Trasformazione Digitale.

Certo, il mercato delle vulnerabilità è composto anche da broker che hanno clienti disposti a pagare bene, spesso di più delle stesse aziende interessate, per avere accesso a determinate falle. A volte questi clienti sono gli stessi governi, come avevamo raccontato in questo reportage.

Previous
Next