ISERNIA. Questa settimana vogliamo parlarvi di Jani, un bambino finlandese di 10 anni che ha scoperto una grave vulnerabilità di Instagram. Non è la prima volta che giovanissimi appassionati di informatica riescono a scoprire pericolose falle e malfunzionamenti sfuggiti all’occhio attento ed esperto dei programmatori. Ogni programma, infatti, presenta sempre degli errori di programmazione; errori che possono generare anche serie vulnerabilità, rendendo instabile e insicuro l’uso del programma stesso. La maggior parte di questi errori si manifesta quando il software viene testato, prima ancora di essere distribuito al grande pubblico. Eppure, le vulnerabilità più importanti, più gravi e, quindi, più pericolose, producono i loro effetti solo dopo che il software è stato diffuso ed è ampiamente utilizzato dalle persone. A volte, queste scoperte non vengono affatto divulgate, ma tenute segrete e utilizzate per scopi illeciti (si parla di vulnerabilità ‘0-day’). La vulnerabilità scoperta dal piccolo Jani, invece, è stata subito segnalata a Facebook, proprietaria anche di altri servizi, quali, appunto, Instagram e WhatsApp. Jani ha partecipato al programma ‘Facebook Security’s Bug Bounty’, attivo da oltre 4 anni, e che prevede una ricompensa per tutti coloro che riescono a individuare e comunicare tempestivamente all’azienda un grave malfunzionamento o un’importante vulnerabilità.
In rete esiste la figura del ‘Bug Hunter’, ossia del ‘cacciatore di bug’: un ricercatore privato che opera nel campo della sicurezza informatica e che analizza programmi e servizi alla continua ricerca di problematiche che possono comprometterne l’utilizzo o permetterne l’abuso. Molte software house offrono somme da capogiro per chi riesce a individuare falle pericolose nei propri programmi: Google, ad esempio, ha portato a 15.000 dollari il compenso per chi fornisce report di gravi vulnerabilità che possano interessare Chrome. Anche l’azienda californiana di Menlo Park non è stata da meno, ricompensando il giovane Jani con 10.000 dollari, che il nostro eroe spenderà (anche) in una ‘bici nuova’. L’ammontare del compenso è sempre a discrezione dell’azienda produttrice del software e commisurato all’entità della falla scoperta, tenendo conto di diversi fattori, quali: il suo impatto sul funzionamento del programma; la facilità di sfruttamento della stessa per danneggiarlo o danneggiare gli utenti che ne fanno uso; e la qualità della segnalazione, che deve esser fatta mediante un report chiaro e completo. Bisogna praticamente dimostrare in cosa consista la vulnerabilità e come essa possa compromettere il normale funzionamento del programma.
Jani ha correttamente dimostrato a Facebook che la vulnerabilità da lui scoperta gli permetteva di cancellare i commenti di qualunque utente di Instagram, ‘persino di Justin Bieber’. Facebook ha voluto mettere alla prova il piccolo Jani creando un commento di prova e chiedendogli di eliminarlo, cosa che è stata fatta senza alcuna difficoltà. Chi volesse seguire le orme del piccolo Jani, può visitare la pagina www.facebook.com/whitehat dove sono riportate nel dettaglio le istruzioni per segnalare correttamente eventuali bug presenti nei prodotti della Facebook Inc., tenendo conto della cosiddetta ‘Politica di divulgazione responsabile’, ossia agendo in modo tale da rispettare la privacy e i dati degli altri utenti e senza arrecare in alcun modo disagio, distruggendo dati o interrompendo servizi.
Facebook non terrà conto né di problematiche che presentano un fattore di rischio estremamente basso, né di falsi positivi e neppure di segnalazioni non idonee. Chiunque volesse segnalare falle e vulnerabilità, può cliccare sull’icona a forma di cuore presente in alto a sinistra nella pagina che vi abbiamo segnalato. La ricompensa minima è di 500 dollari, ma se siete stati particolarmente accorti e fortunati, può arricchirsi di diversi zeri. Sempre da questa pagina, è possibile visualizzare anche l’elenco di tutti coloro che, negli anni, hanno contribuito a rendere Facebook ‘un po’ più sicuro’.
Buona caccia.
I-Forensics Team
