Facebook sta lavorando per istituire un Bug Bounty Program che incoraggia i ricercatori a scoprire le vulnerabilità di sicurezza sulla sua piattaforma e relazionarle in modo responsabile. Joe Sullivan, agente a capo di Facebook Security, ha detto alla conferenza Hack in the Box 2011 sulla sicurezza ad Amsterdam che l'azienda sta attualmente testando un tale sistema e spera di lanciarlo al più presto. I programmi di ricompensa per le vulnerabilità non sono nuovi.
In realtà, sono in giro fin dai tempi di Netscape. Nel 2004 Mozilla ha introdotto un sistema di Bug Bounty per le vulnerabilità scoperte in Firefox, poi l'anno scorso Google ha fatto lo stesso per Chromium, il progetto open source alla base di Google Chrome. Tuttavia, è stato Google, che ha iniziato a gratificare le vulnerabilità trovate nei suoi servizi web, una mossa che ha seguito Mozilla, un mese dopo.
Facebook ha un rapporto abbastanza buono con i ricercatori di sicurezza e molti di loro stanno già segnalando le vulnerabilità all'azienda. I Bug Bounty Program non sono solo gratificanti per i ricercatori, ma anche attirano l'attenzione di sicurezza verso un particolare prodotto o servizio. "Noi prendiamo seriamente la sicurezza degli utenti e ci sforziamo di garantire un servizio sicuro per voi quando si utilizza Facebook.
Se correttamente notificato, noi esaminaremo rapidamente tutti i rapporti legittimi di vulnerabilità di sicurezza e risolveremo i potenziali problemi, ed abbiamo adottato una politica di responsabile trasparenza per incoraggiare le notifiche", scrive Facebook. Dal momento che sempre più persone saranno interessate a curiosare e scoprire i difetti, il sistema diventerà sempre più sicuro e ci saranno meno vulnerabilità da trovare per i cybercriminali.
Nessun dettaglio sulle possibili vincite del programma o le regole sono state diffuse, ma si spera che le ricompense saranno almeno corrispondenti a quelli offerti da Mozilla e Google. Se siete un ricercatore di sicurezza e credete di aver trovato una vulnerabilità, si prega di inviare quante più informazioni possibili per aiutare il team di sicurezza di Facebook a comprendere meglio la natura e la portata del problema, collegandovi a questa pagina.
Via: Facebook
Nessun commento:
Posta un commento