Programmi di bug bounty in Russia: implicazioni e sviluppi futuri
I programmi di bug bounty stanno guadagnando terreno in Russia, un fenomeno che potrebbe avere ripercussioni significative a livello globale. Le sanzioni internazionali, l’isolamento informatico e il cambiamento di atteggiamento verso l’hacking etico hanno contribuito alla crescita di questi programmi nel paese. Con la possibilità che le aziende di acquisizione di zero-day possano trarre profitto, il panorama della sicurezza informatica in Russia sta cambiando rapidamente.
Contesto e sviluppo dei programmi di bug bounty
L’invasione russa dell’Ucraina nel 2022 e le sanzioni internazionali conseguenti hanno avuto gravi ripercussioni sull’ecosistema della sicurezza informatica in Russia. La ritirata delle aziende IT occidentali e l’emigrazione di specialisti IT russi hanno costretto Mosca a sviluppare soluzioni interne per migliorare la propria postura di sicurezza. Tra queste, i programmi di bug bounty rappresentano un’iniziativa significativa. In questi programmi, gli individui ricevono una ricompensa per la scoperta e la segnalazione di vulnerabilità software e hardware agli sviluppatori.
Nel marzo 2022, le sanzioni internazionali hanno portato le piattaforme di bug bounty di terze parti a interrompere i pagamenti ai hacker russi e bielorussi. Ad esempio, HackerOne, la più grande piattaforma di ricerca di vulnerabilità al mondo, ha rifiutato di pagare una ricompensa di $25.000 a un hacker bielorusso. Analogamente, Anton Subbotin, un noto ricercatore di bug russo su HackerOne, ha visto negato un pagamento di $50.000, inclusi i rapporti di bug inviati prima dell’invasione.
Crescita dell’ecosistema di bug bounty in Russia
Con l’incertezza che circonda i programmi di bug bounty occidentali, le aziende IT russe hanno iniziato a riempire questo vuoto. I programmi di bug bounty in Russia hanno una storia relativamente lunga, con Yandex che ha lanciato il primo programma di bug bounty russo nel 2012. Tuttavia, fino a poco tempo fa, tali programmi non erano stati adottati ampiamente dalle aziende russe.
Nel febbraio 2021, Cyber Polygon e Sinclit hanno fondato la piattaforma Bug Bounty RU, seguita da Positive Technologies con Standoff 365 Bug Bounty nel maggio 2022. Positive Technologies ha ospitato 70 programmi su questa piattaforma in due anni. BI.ZONE ha lanciato la propria piattaforma Bug Bounty ad agosto 2022. Attualmente, queste tre piattaforme sono le più grandi in Russia, con circa 20.000 bug hunters registrati nel 2023.
Le principali aziende russe nei settori bancario, retail e IT, come T-Bank, Ozon e VK, offrono ora programmi su queste piattaforme. Positive Technologies offre le ricompense più alte su Standoff 365, fino a 60 milioni di rubli (circa $680.000). Le strutture di pagamento delle ricompense sono paragonabili a quelle di HackerOne e altre piattaforme occidentali.
Ruolo del governo russo e implicazioni future
Il governo russo ha iniziato a capitalizzare sull’emergere di un ecosistema di bug bounty domestico. Alcune istituzioni governative hanno collaborato con Standoff 365 e BI.ZONE, segnalando un cambiamento nella percezione dei programmi di bug bounty e della comunità di hacking russa.
Nel febbraio 2023, il Ministero dello Sviluppo Digitale ha incluso 10 dei suoi sistemi di e-government, tra cui Gosuslugi, su entrambe le piattaforme Standoff 365 e BI.ZONE. Le ricompense per le vulnerabilità critiche possono arrivare fino a ₽1 milione (circa $11.000). Finora, oltre 16.000 persone si sono iscritte al programma di bug bounty governativo, con più di 100 vulnerabilità trovate.
Questi sforzi federali si stanno estendendo anche ai governi regionali. A dicembre 2023, i servizi municipali della regione di Mosca e altre regioni hanno lanciato i loro programmi di bug bounty su Standoff 365, riservati solo ai cittadini russi.
Implicazioni internazionali e prospettive future
Questi sviluppi avvengono in un contesto di ambiguità legale, poiché il codice penale russo non distingue tra hacking criminale e hacking etico. L’hacking etico è ancora considerato illegale in Russia e può essere punito con fino a sette anni di prigione. La legislazione sull’hacking etico è ancora in fase di discussione e potrebbe allinearsi con le iniziative più ampie del governo russo per migliorare la sicurezza informatica.
Le piattaforme di bug bounty russe hanno una probabilità elevata di crescita sostanziale nei prossimi anni. Possono rappresentare un’alternativa credibile non solo per gli hacker russi, ma anche per i ricercatori di vulnerabilità in paesi che potrebbero affrontare sanzioni finanziarie internazionali in futuro. Tuttavia, un potenziale problema per i paesi occidentali è che gli hacker russi potrebbero vendere le vulnerabilità scoperte a aziende di acquisizione di zero-day russe, piuttosto che segnalarle gratuitamente alle piattaforme occidentali. Queste aziende potrebbero poi rivendere le vulnerabilità alle agenzie di sicurezza russa, aumentando così il rischio di campagne di spionaggio nei paesi occidentali.
Per i responsabili politici occidentali, è essenziale monitorare l’evoluzione dell’ecosistema di bug bounty in Russia e considerare le implicazioni di questi sviluppi sulla sicurezza globale.