Stefano Sergente
Per tenere al sicuro i prodotti dell’azienda, Google utilizza un particolare metodo basato sulle premiazioni e collaborazioni esterne.
Vi siete mai chiesti come fa un gigante come Google a tenere sotto controllo i vari bug e malfunzionamenti che insorgono costantemente? Vi siete mai chiesti quanto spende in sicurezza informatica un’azienda del genere?
Google e la guerra contro i bug
Nel 2022 Google ha speso oltre 12 milioni di dollari in sicurezza informatica, attraverso dei veri e propri premi assegnati ai numerosi ricercatori che si sono cimentati nella ricerca di bug all’interno dell’universo virtuale della grande G.
Secondo un post sul blog dell’azienda, più di settecento ricercatori provenienti da 68 nazioni differenti hanno aiutato Google a identificare e risolvere oltre 2.900 problemi di sicurezza nel corso dell’anno, tutto grazie al sistema messo in piedi da Google chiamato Vulnerability Rewards Programs: “Il Vulnerability Rewards Programs è aperto a tutti i ricercatori di sicurezza e prevede ricompense per le vulnerabilità scoperte e segnalate secondo le regole indicate[…] L’obiettivo del VRP è fornire un processo formale per onorare i contributi dei ricercatori”.
Sicurezza informatica e premi
Il premio più alto, pari a 605.000 dollari, è stato assegnato per una relazione che illustrava una catena di exploit di cinque bug all’interno del sistema Android. Nel 2021 lo stesso ricercatore ha scoperto e segnalato un’altra catena di exploit critici in Android e ha ricevuto 157.000 dollari, il bug bounty più alto nella storia di Android VRP in quel momento.
Mentre nel 2022, attraverso l’ACSRP (Android Chipset Security Reward Program), Google ha ricompensato alcuni ricercatori con 486.000 dollari. L’Android Chipset Security Reward Program è un programma di ricompensa privato, offerto dall’azienda in collaborazione con i produttori di chipset Android Google.
L’azienda ha inoltre pagato un totale di 4 milioni di dollari nel 2022 per premiare i ricercatori che hanno scovato 363 vulnerabilità nel browser Chrome e 110 problemi di sicurezza in ChromeOS. Google ha annunciato che quest’anno Chrome VRP inizierà a sperimentare e potrebbe offrire nuovi bonus per i problemi di sicurezza segnalati nel browser e in ChromeOS.
I vantaggi della strategia di Google
Il programma di ricompense per i prodotti open-source lanciato da Google nell’agosto del 2022 ha premiato più di 100 cacciatori di bug con oltre 110.000 dollari e, oltre alle taglie pagate ai ricercatori, Google ha anche assegnato oltre 250.000 dollari in sovvenzioni a più di 170 ricercatori.
Questi fondi sono destinati a persone che tengono d’occhio i prodotti e i servizi di Google, anche se non trovano alcuna vulnerabilità. Nel 2022, Google ha pagato 703 ricercatori per le segnalazioni presentate attraverso i Vulnerability Rewards Programs ed è stato sponsor delle conferenze sulla sicurezza NahamCon e BountyCon.
Casey Bisson, responsabile del prodotto e dell’abilitazione degli sviluppatori presso BluBracket, un fornitore di soluzioni per la sicurezza informatica, ha sottolineato che “in qualità di gestore di numerosi progetti open source, il programma bounty di Google è una risposta necessaria al crescente rischio di attacchi alla catena di fornitura del software[…] Anche se potrebbe essere una sfida gestire una cosa del genere, non c’è dubbio che sarebbe un beneficio per la comunità nel suo complesso”.
Inoltre, secondo Bisson, i ricercatori che sondano le vulnerabilità di sicurezza non sempre vengono pagate adeguatamente, “quindi offrire una taglia a chi la scopre può aiutare a scoprire rischi che altrimenti potrebbero essere venduti a malintenzionati”.