L’operazione di “caccia al bug” sui siti del Pentagono è stata un successo e allo stesso tempo ha scoperchiato un bel po’ di problemi. Hack the Pentagon, così è stata battezzato il primo programma di bug bounty del Dipartimento della Difesta staunitense, ha funzionato: ben 138 vulnerabilità sono state scoperte da 1.410 “hacker bianchi” partecipanti all’iniziativa. Hacker armati non di cattive intenzioni, ma solo di tecnica e del desiderio di ottenere una ricompensa monetaria per le loro segnalazioni.
Simile a quelle già da tempo avviati da colossi come Google, Facebook e Twitter, l’iniziativa di collaborazione a distanza con utenti tecnologicamente smart è stata definita dal Dipartimento della Difesa come “un tentativo del governo di esplorare nuovi approcci alle sfide di cybersicurezza”. Approcci in cui si sceglie di sfruttare l’intelligenza collettiva e la collaborazione. Non potendo, ovviamente, assumere tutti i white hacker disponibili sulla piazza, governi e aziende stanno ricorrendo alle iniziative di bug bounty per disporre delle loro competenze, ricompensandoli “a servizio”, in base alla rilevanza delle segnalazioni.
Questo metodo comporta certamente dei costi, che però sono ampiamente ripagati. Hack the Pentagon finora è costato 150 mila dollari, di cui circa la metà spesi per ricompensare le segnalazioni (1.189 quelle ricevute, 138 quelle ritenute valide), “comunque una piccola somma, rispetto ai costi del processo di valutazione della sicurezza che facciamo di solito e che sarebbe stato superiore al milione di dollari” se affidato a un’agenzia specializzata, come spiegato dal ministro della Difesa statunitense, Ashton Carter.
In corso dal 18 di aprile al 12 di maggio di quest’anno, il programma è stato sostanzialmente un test pilota, che ora il Pentagono vuole replicare su più larga scala. Le 138 vulnerabilità scovate affliggevano cinque proprietà online del Governo, fra siti, blog e archivi di immagini, ovvero defense.gov, dodlive.mil, dvidshub.net, myafn.net and dimoc.mil. Fra le segnalazioni, i problemi più comuni riguardavano la possibilità di trafugare informazioni o di ottenere privilegi di accesso per effettuare manomissioni (tramite cross-site scripting o cross-site request forgery), mentre ad aggiudicarsi la ricompensa più ricca è stato chi ha scovato una vulnerabilità che permetteva un attacco tramite Sql injection.
Ora si va avanti: un nuovo programma, sul cui regolamento si sta già lavorando, raccoglierà invece segnalazioni su vulnerabilità riguardanti le pagine Web, ma anche i server, le reti e le applicazioni del Dipartimento della Difesa. Ricordiamo che l’infrastruttura del Dipartimento è stata hackerata più di una volta nel corso dell’ultimo anno, arrivando in un caso al temporaneo blocco del sistema di posta elettronica.