«Così noi hacker etici diamo la caccia ai bug»

Anche l’informatica ha i suoi cacciatori di taglie. Non si tratta di cowboy, ma di hacker etici, che vanno a caccia di bug e vulnerabilità nei programmi, nelle app e nei siti web delle grandi aziende e dei governi di mezzo mondo in cambio di una ricompensa - una «taglia», in altre parole.

La «mamma» dei programmi «bug bounty» («caccia al bug», in italiano) è Katie Moussouris: ricercatrice, imprenditrice e attivista per la cybersicurezza etica, sarà a Bergamo sabato, il 18 ottobre, ospite del «No Hat 2025», la conferenza sulla sicurezza informatica che ogni anno si tiene nella nostra città.

L’aiuto degli hacker etici

«Il funzionamento dei “bug bounty programs” è semplice: le aziende mettono i loro software e i loro servizi nelle mani degli hacker, che cercano delle vulnerabilità nel codice. Se le trovano, possono segnalarle al committente, che li paga per il loro lavoro», spiega Moussouris, che aggiunge: «Per la verità, non è una formula che ho inventato io. A metà degli anni Novanta, Netscape utilizzava un sistema molto simile, ma i guadagni proposti agli hacker erano troppo bassi. Poi è arrivata Google, che ha raddoppiato le “taglie”. Qualche anno dopo, i miei progetti per Microsoft hanno reso i “bug bounty” famosi in tutto il mondo».

«Talvolta capita che giorni di lavoro non portino a nulla: in quel caso non c’è retribuzione»

La «caccia al bug» non è l’unico strumento per garantire la sicurezza di un software: «Ci sono imprese che hanno dei team interni di controllo qualità, mentre altre si rivolgono ai “penetration tester”, che si comportano come degli hacker e cercano di “bucare” il codice», conferma l’esperta. «Tuttavia - specifica - in alcuni casi i “bug bounty” si rivelano particolarmente utili. Per esempio, una compagnia che ha già perseguito le strade tradizionali può mettere una taglia sui bug dei propri software per assicurarsi di non essersi persa per strada qualche falla». Generalmente, gli hacker considerano questi progetti come lavoretti secondari, per arrotondare: «Solo nei Paesi in via di sviluppo, le taglie garantiscono una certa stabilità economica. In Occidente è impossibile camparci», racconta Moussouris: «In Europa e negli Stati Uniti le consideriamo un po’ come il lavoro per Uber: puoi farlo per un po’, magari accanto a un posto di lavoro stabile, ma non è un impiego a vita. I guadagni, poi, dipendono molto da ciò che scopri: i bug minori sono pagati qualche centinaio di dollari, mentre si passa a qualche migliaio per quelli più gravi. Però per trovarli occorre tanto tempo, e talvolta capita che giorni di lavoro non portino a nulla: in quel caso non c’è retribuzione».

L’aiuto dell’Ia

Per questo motivo, alcuni programmatori hanno iniziato a usare l’Intelligenza artificiale per semplificare il lavoro. L’idea di questi hacker è semplice: usare ChatGpt per analizzare grandi quantità di codice e trovare un buon numero di errori basilari, da sottoporre alle aziende per le taglie più piccole. Per quelle più sostanziose, invece, è ancora necessario l’intervento umano. «È una strada che molti stanno tentando», conferma Moussouris, che però mette in guardia dalla chimera dei facili guadagni: «Occorre moderarne l’utilizzo fin da subito. Il rischio è che si riveli controproducente non solo per chi la usa, ma per tutti». L’Intelligenza artificiale genera infatti un gran numero di falsi positivi e di correzioni inutili per il codice, chiamati «AI slop» («poltiglia dell’IA») in gergo. «Si tratta di centinaia, se non migliaia, di segnalazioni che vengono inviate automaticamente alle aziende, nella speranza che almeno in una manciata di casi ci sia qualcosa di giusto. È una pratica insostenibile, che ha spinto tante imprese a chiudere i loro programmi di “caccia alla vulnerabilità”. Così, però, ci rimettiamo tutti», conclude la ricercatrice.