[Tech Thoughts] Bug Bounties e Hacking Etico di DICT in Sintesi

Il Dipartimento delle Tecnologie dell'Informazione e della Comunicazione ha rilasciato il 14 gennaio la circolare dipartimentale HRA-002, che ha stabilito le linee guida, le regole e i regolamenti rivisti e consolidati sulle divulgazioni delle vulnerabilità e sulla politica di safe harbor e sul programma di bug bounty del paese.

Il Segretario del DICT Henry Aguda è persino andato alla conferenza di hacking Rootcon lo scorso anno allo scopo di pubblicizzare questo sviluppo, affermando che gli hacker del paese dovrebbero usare le loro competenze "per proteggere, non per distruggere".

A tal fine, l'istituzione della Safe Harbor Policy e del Bug Bounty Program (SHPBBP) dovrebbe essere una nota di benvenuto per coloro che possiedono le giuste competenze, poiché cerca di incentivare divulgazioni responsabili sulla sicurezza informatica per i servizi governativi.

Vediamo cosa significa tutto questo, soprattutto se non avete sentito parlare di questo sviluppo.

Hacker etici, bug bounty e politiche di safe harbor

L'hacking etico è il processo attraverso il quale un professionista della sicurezza informatica, noto anche come hacker white-hat, identifica e aiuta a correggere le vulnerabilità in app, sistemi o tecnologie prima che tale vulnerabilità possa essere utilizzata in modo dannoso da un hacker non etico, o black-hat.

In quanto tale, l'hacking etico simula attacchi informatici del mondo reale per valutare i rischi di un sistema in modo che i sistemi dati possano essere migliorati o altrimenti rafforzati nella sicurezza.

Per rendere l'hacking etico gratificante per gli hacker white-hat, i programmi di bug bounty sono strutture organizzative istituite per valutare e offrire compensi finanziari per il lavoro di scoperta e consegna responsabile delle vulnerabilità alle persone che sviluppano i sistemi che sono stati hackerati. Questo affinché la sicurezza di tali sistemi possa essere migliorata.

I programmi di bug bounty spesso includono protezioni per gli hacker per svolgere il loro lavoro.

Queste politiche di safe harbor sono progettate per proteggere gli hacker white-hat o i ricercatori di sicurezza da responsabilità amministrative, civili o penali nel caso in cui trovino qualcosa nel processo di ricerca dei bug, purché divulghino correttamente la loro ricerca secondo le specifiche di un determinato programma di bug bounty.

Di cosa tratta la circolare SHPBBP del DICT?

Lo SHPBBP del DICT delinea le protezioni e i requisiti necessari per partecipare al programma di bug bounty del DICT.

Ora, potreste chiedervi se chiunque può partecipare a un bug bounty.

Ai fini della circolare del DICT, dovete essere, come minimo, un ricercatore professionale di sicurezza informatica per partecipare. Dovete anche registrarvi con una procedura Know Your Contributor (KYC) per essere anche solo idonei a ricevere ricompense da un bug bounty.

Nello specifico, tuttavia, la circolare ha affermato che si applica ai seguenti:

• Tutte le agenzie governative nazionali sotto il ramo esecutivo, comprese le società di proprietà e controllate dal governo e le loro filiali, le istituzioni finanziarie governative e le università e i college statali, compresi quelli sotto il dominio *.gov.ph e le piattaforme gestite dal DICT;
• Il Congresso filippino, la magistratura, le commissioni costituzionali indipendenti, l'ufficio dell'Ombudsman e le unità governative locali sono fortemente incoraggiati ad adottare questa circolare;
• Entità private volontariamente iscritte al programma di partenariato pubblico-privato per la sicurezza informatica del DICT;
• Operatori di infrastrutture informative critiche (CII), come identificati nel piano nazionale di sicurezza informatica (NCSP); e
• Ricercatori di sicurezza informatica responsabili dell'identificazione e dell'analisi delle potenziali minacce alla rete e ai sistemi di un'organizzazione.

Le protezioni di safe harbor si applicheranno solo, nel frattempo, se sei un ricercatore di sicurezza che sta testando solo i sistemi dichiarati nell'ambito dei bug bounty; non commetti alcun tipo di esfiltrazione, alterazione o interruzione del servizio di dati non autorizzati; segnali le vulnerabilità in modo responsabile e privato al DICT o all'entità autorizzata; e mantieni le tue scoperte private e non le divulghi fino a quando il problema che hai trovato non sia stato risolto o ti sia stato permesso di discuterne pubblicamente.

Come funziona tutto?

Potreste essere curiosi di come funzioni in pratica, quindi ecco come si svolgerebbe generalmente.

Un ricercatore di sicurezza si candida per unirsi all'iniziativa del DICT attraverso la procedura Know Your Customer menzionata sopra. Devono completare l'intero processo ed essere accettati per essere idonei a premi in denaro. I conflitti di interesse — ad esempio, il personale del DICT e i fornitori di servizi di terze parti coinvolti dal DICT — squalificano i potenziali candidati dalla partecipazione a questi bug bounty.

Il programma di bug bounty avrà le sue ricompense stabilite dalle entità partecipanti, vale a dire le agenzie governative che necessitano di aiuto, o i partner governativi che desiderano stabilire una ricompensa propria. Il finanziamento per far funzionare questa circolare "sarà addebitato sul bilancio esistente dell'agenzia o istituzione coperta e su altre fonti di finanziamento appropriate come il dipartimento di gestione del bilancio può identificare, soggetto a leggi, regole e regolamenti pertinenti".

Queste ricompense — inclusi quali siti o servizi e quali aspetti di tali siti e servizi necessitano di test — sono elencate su un portale del programma di divulgazione delle vulnerabilità (VDPP), un sito web dedicato alla ricerca dei bug e alla loro segnalazione. Questo è ospitato e mantenuto dall'ufficio di sicurezza informatica del DICT.

Bug e problemi correttamente segnalati al VDPP possono rientrare in quattro possibili scenari di sicurezza che vanno da critico, alto, medio e basso, con potenziali pagamenti basati su tariffe di settore a seconda dei rapporti e della loro gravità.

L'ufficio di sicurezza informatica del DICT convaliderà i rapporti e darà a coloro con rapporti convalidati "certificato/riconoscimento appropriato per il contributo del ricercatore nella segnalazione e/o
risoluzione della vulnerabilità convalidata". Le entità partecipanti del settore privato, dopo aver coordinato con l'ufficio di sicurezza informatica del DICT, possono dare ricompense monetarie o incentivi appropriati basati sui meccanismi di incentivo strutturati delineati nel VDPP.

Oltre alle ricompense monetarie, c'è anche la reputazione coinvolta poiché le divulgazioni responsabili ottengono un po' di attenzione sotto i riflettori del governo. I premi includono certificati digitali e stampati, riconoscimento pubblico sul VDPP e inclusione in altre citazioni del DICT, secondo la circolare.

Uno sviluppo molto necessario

Un programma nazionale di bug bounty con regole definite per impegnarsi nel processo è una buona notizia e uno sviluppo molto necessario nello spazio della sicurezza informatica, poiché dovrebbe aiutare a incentivare l'hacking etico a lungo termine migliorando i sistemi governativi nel presente.

Se sei un professionista della sicurezza informatica emergente, questo può essere un buon modo per entrare nel settore, purché tu sappia cosa stai facendo e svolga il lavoro richiesto per divulgazioni responsabili.

Consulta la circolare collegata qui per i dettagli e partecipa. Potresti aiutare a migliorare la sicurezza del governo da alcune persone cattive. – Rappler.com