Disclose.io: la fiducia al primo posto

Kaspersky entra a far parte del progetto Disclose.io per offrire un porto sicuro ai ricercatori di sicurezza.

Perché acquistate quell’antivirus e non un altro? Perché costa di meno Perché vi ispira più fiducia ovviamente. E perché i ricercatori di sicurezza dedicano più tempo ad esaminare un’app rispetto a un’altra? Perché hanno maggiore fiducia nella compagnia che ha sviluppato quella app. Non tutte le aziende accolgono favorevolmente la notizia di una vulnerabilità riscontrata nei propri prodotti, anzi, alcune minacciano i ricercatori dell’intenzione di intraprendere azioni legali.

Insomma, in generale, la scelta di un prodotto o di una compagnia si basa sulla fiducia e un solo errore può compromettere irrimediabilmente questo rapporto. Di per sé, creare una relazione di fiducia di questo tipo può essere davvero difficile. È come costruire una torre fatta da migliaia di mattoni: toglierne anche solo uno potrebbe far crollare la torre e, per costruire o ricostruire la torre, bisogna collocare un mattone sull’altro con molta attenzione e ripetere questa operazione migliaia di volte. Un compito arduo a cui bisogna dedicare molto tempo.

Un porto sicuro per i ricercatori

Noi di Kaspersky vogliamo che i nostri clienti o potenziali clienti abbiano totale fiducia in noi: stiamo costruendo la nostra torre mattone su mattone e vogliamo che rimanga stabile. Come sapete, per questo scopo abbiamo lanciato la nostra Iniziativa globale di trasparenza e abbiamo anche aumentato le ricompense del nostro programma Bug Bounty. E ora siamo lieti di annunciare la nostra partecipazione al progetto Disclose.io di Bugcrowd, per garantire a coloro che fanno ricerca sui nostri prodotti che, nel caso in cui riscontrino vulnerabilità, non dovranno affrontare eventuali azioni legali.

Ad agosto 2018, Bugcrowd ha lanciato Disclose.io in collaborazione con il rinomato ricercatore di sicurezza Amit Elazari per fornire un quadro legale chiaro in grado di proteggere aziende e ricercatori impegnati nei programmi di Bug Bounty e nella scoperta di vulnerabilità. In sostanza, Disclose.io offre una serie di accordi tra aziende e ricercatori; tutte le compagnie che aderiscono al progetto Disclose.it accettano di seguire questi accordi e lo stesso vale per i ricercatori. Si tratta di accordi molto semplici, facili da leggere e da comprendere, non ci sono tutte quelle clausole e postille che rendono praticamente inaffrontabili gli accordi legali. Potete trovare i termini fondamentali su GitHub, un ulteriore segnale di trasparenza: su GitHub, infatti, i documenti non possono essere modificati senza che l’intera community ne venga a conoscenza.

Tali accordi fanno sì che le aziende non siano spinte a “punire” i ricercatori per il loro lavoro ma a collaborare con loro per capire quali sono le vulnerabilità riscontrate e risolverle, riconoscendo il loro contributo a una maggiore sicurezza del prodotto. Dall’altro lato, questi accordi esigono ai ricercatori un senso di responsabilità nei confronti delle vulnerabilità che individuano impegnandosi, ad esempio, a non rendere pubbliche le informazioni fino a quando non viene risolta la vulnerabilità, a non approfittare dei dati a cui hanno accesso, a non cercare di estorcere denaro ai vendor etc.

Riassumendo, la filosofia di Disclose.io è la seguente: “Cari ricercatori e aziende, se vi comportate bene, entrambi ne trarrete vantaggio”. Siamo totalmente favorevoli a questo approccio ed è per questo che sosteniamo il movimento Disclose.io, offrendo un porto sicuro ai ricercatori che lavorano per trovare i punti deboli dei nostri prodotti.

Ovviamente, anche i nostri clienti ne trarranno vantaggio. Se un prodotto o un servizio viene analizzato dalla community di sicurezza, ovviamente il prodotto sarà ancor più sicuro. E, quando si tratta di soluzioni di sicurezza, tale fattore è assolutamente determinante.

Consigli