Lo scorso autunno abbiamo parlato della nostra Global Transparency Initiative, promettendo di ampliare il programma Bug Bounty. Ed è proprio quello che abbiamo fatto. A partire da oggi, chiunque trovi una vulnerabilità particolarmente importante in uno dei nostri prodotti potrebbe ottenere una ricompensa di 100 mila dollari.
Il nostro programma Bug Bounty risale al 2016 e incoraggia tutti, da esperti in sicurezza IT a professionisti di lunga data, ad andare alla ricerca di bug nei prodotti Kaspersky Lab. Le ricompense date fino a ora oscillano tra i 300 e i 5 mila dollari per vulnerabilità scoperte in maniera corretta. Grazie al programma sono stati rilevati oltre 70 bug, tutti risolti tempestivamente.
Ebbene sì, neanche i nostri prodotti sono immuni ai bug, e non abbiamo paura di ammetterlo. Nessuno è perfetto ed è proprio per questo che è nato il primo programma Bug Bounty nel lontano 1995, quando Netscape voleva testare il suo ultimo browser. Ad oggi Google, Microsoft, Facebook, Mozilla e altre importanti compagnie IT hanno attivi i propri programmi.
A partire dal primo marzo, abbiamo moltiplicato la ricompensa di ben 20 volte, e si può ottenere la cifra più alta (100 mila dollari) scoprendo bug che consentono di eseguire il codice in remoto mediante il canale di aggiornamento del database del prodotto. Ciò deve avvenire con il lancio di un codice dannoso a insaputa dell’utente all’interno dei processi della soluzione (che gode di elevati privilegi), e il malware deve essere in grado di resistere al riavvio del sistema.
Si tratta di un compito piuttosto complicato; tuttavia, anche trovare bug minori dà i suoi frutti. Se vengono individuate altre vulnerabilità che consentono di eseguire altri tipi di controllo in remoto, si possono ottenere ricompense dai 5 mila ai 20 mila dollari. Le ricompense riguardando anche bug che consentono la scalata a privilegi in locale o portano all’accesso di dati sensibili.
Vi invitiamo a mettere alla prova la solidità di due tra i nostri prodotti più recenti, Kaspersky Internet Security 2019 e Kaspersky Endpoint Security 11 (si tratta delle versioni beta più recenti di due prodotti che saranno disponibili prossimamente). In base a quanto stabilito nei termini e nelle condizioni del programma, è necessaria la versione di Windows 8.1 o Windows 10 con tutti gli aggiornamenti più recenti installati. Per maggiori dettagli sul nostro programma Bug Bounty, potete visitare il sito della piattaforma HackerOne.