CTF e bug bounty: come gli hacker di oggi imparano e guadagnano

Vent’anni fa, se sapevi trovare vulnerabilita’ nei sistemi informatici, le tue opzioni di carriera erano essenzialmente tre: lavorare per il governo, lavorare per un’azienda di sicurezza, o rischiare il carcere. Oggi esiste un intero ecosistema che trasforma quelle competenze in una professione rispettata e ben pagata. E tutto parte da due fenomeni: le competizioni CTF e i programmi di bug bounty.

Che cos’e’ un CTF

CTF sta per Capture The Flag, cattura la bandiera. Nella versione informatica, la “bandiera” e’ una stringa di testo nascosta in un sistema che devi violare, un codice che devi decifrare, un file che devi estrarre. Trovi la flag, dimostri di aver risolto la sfida, guadagni punti.

Esistono due formati principali:

• Jeopardy: le sfide sono indipendenti, divise per categoria (web, crittografia, reverse engineering, forensics, pwn/binary exploitation). Ogni sfida ha un punteggio che di solito diminuisce man mano che piu’ team la risolvono. Risolvi quello che puoi nel tempo disponibile.
• Attack/Defense: ogni team ha un server con servizi vulnerabili. Devi simultaneamente attaccare i server degli altri team e difendere il tuo. E’ il formato piu’ realistico e anche il piu’ caotico.

Il CTF piu’ prestigioso al mondo e’ quello del DEF CON, la conferenza hacker che si tiene ogni anno a Las Vegas. Vincere il DEF CON CTF e’ l’equivalente di un campionato mondiale. I team che competono a quel livello — come Plaid Parliament of Pwning (PPP), MHACKERONI (team italiano), o Blue Water — sono composti da alcuni dei migliori security researcher del pianeta.

Dove si impara

La bellezza del sistema CTF e’ che e’ completamente meritocratico e accessibile. Non serve una laurea, non serve un titolo, non serve conoscere qualcuno. Servono un computer, una connessione e la voglia di sbatterci la testa per ore.

Le piattaforme principali per cominciare:

• OverTheWire: una serie di “wargame” gratuiti con livelli di difficolta’ crescente. Il primo, Bandit, ti insegna le basi di Linux attraverso sfide pratiche. E’ il punto di partenza consigliato per chi parte da zero.
• PicoCTF: organizzato dalla Carnegie Mellon University, e’ pensato per studenti delle superiori e universitari. Le sfide sono ben strutturate e hanno writeup dettagliati.
• TryHackMe: percorsi guidati con ambienti virtuali gia’ configurati. Paghi un abbonamento mensile, ma la curva di apprendimento e’ molto ben gestita. Ottimo per chi vuole strutturare lo studio.
• HackTheBox: il livello successivo. Macchine virtuali da violare, sfide settimanali, un sistema di ranking. L’accesso base e’ gratuito, le macchine “retired” (con writeup disponibili) richiedono un abbonamento. Molte aziende di sicurezza guardano il profilo HackTheBox dei candidati durante i colloqui.

Google organizza il proprio Google CTF annuale con sfide di livello molto alto. E poi ci sono centinaia di CTF minori durante l’anno, tracciati su CTFtime.org, il calendario globale delle competizioni.

Bug bounty: farsi pagare per hackerare

Se i CTF sono la palestra, i bug bounty sono il campo di gioco reale. Un programma di bug bounty funziona cosi’: un’azienda definisce un perimetro (i propri siti web, le proprie app, i propri servizi), stabilisce delle regole di ingaggio, e dice: “trovate le vulnerabilita’, segnalatecele, e vi paghiamo”.

L’idea non e’ nuova. Netscape lancio’ il primo programma di bug bounty nel 1995. Ma l’esplosione e’ arrivata negli ultimi dieci anni, grazie a piattaforme che fanno da intermediario tra aziende e ricercatori:

• HackerOne: la piattaforma piu’ grande. Gestisce i programmi di bug bounty del Dipartimento della Difesa americano, di General Motors, di Starbucks, di migliaia di aziende. Ha distribuito oltre 300 milioni di dollari in bounty dalla sua fondazione.
• Bugcrowd: il principale concorrente, con un catalogo simile di clienti aziendali e governativi.
• Programmi diretti: molte grandi aziende gestiscono i propri programmi internamente. Apple paga fino a 1 milione di dollari per vulnerabilita’ critiche nel kernel di iOS. Google ha pagato centinaia di migliaia di dollari per singole vulnerabilita’ in Chrome e Android.

I numeri

I compensi variano enormemente. Una vulnerabilita’ XSS (cross-site scripting) su un sito minore puo’ valere 100-500 dollari. Una vulnerabilita’ di esecuzione di codice remoto su un servizio critico puo’ valere decine o centinaia di migliaia di dollari.

Ci sono ricercatori che vivono esclusivamente di bug bounty. Alcuni dei piu’ attivi su HackerOne hanno guadagnato oltre un milione di dollari in pochi anni. Non sono molti, ma esistono. E molti altri ricavano un reddito significativo come attivita’ secondaria, dedicando serate e weekend alla ricerca di vulnerabilita’.

Santiago Lopez, un ricercatore argentino, divenne nel 2019 il primo bug bounty hunter a superare il milione di dollari di guadagni su HackerOne. Aveva iniziato a 16 anni, imparando da solo con video su YouTube.

Da criminale a professionista

Il cambiamento culturale e’ enorme. Negli anni ’90, se trovavi una vulnerabilita’ in un software Microsoft e la rendevi pubblica, rischiavi una causa legale. Oggi Microsoft ha un programma di bug bounty e paga i ricercatori che trovano i bug. La stessa Microsoft che negli anni ’90 chiamava i ricercatori di sicurezza “terroristi informatici”.

Questo cambio di paradigma ha creato un percorso di carriera che prima non esisteva:

• Cominci con i CTF, impari le basi
• Passi alle piattaforme di pratica (HackTheBox, TryHackMe)
• Inizi con i bug bounty su programmi accessibili
• Costruisci un portfolio di vulnerabilita’ segnalate
• Le aziende di sicurezza ti notano e ti offrono un lavoro

Oppure resti indipendente e vivi di bounty. O fondi una tua azienda di consulenza. Le opzioni oggi sono molte.

La cultura che cambia

Il passaggio da underground a mainstream non e’ stato indolore. Nella comunita’ hacker c’e’ chi considera i bug bounty una forma di cooptazione: le aziende pagano i ricercatori per non rendere pubbliche le vulnerabilita’, mantenendo il controllo sulla narrativa della sicurezza. E’ una critica legittima.

Ma la realta’ e’ che il sistema funziona. Le aziende trovano e correggono vulnerabilita’ che altrimenti resterebbero aperte. I ricercatori vengono pagati per fare quello che amano. Gli utenti finali hanno prodotti piu’ sicuri. Non e’ perfetto, ma e’ infinitamente meglio del modello precedente, in cui la stessa attivita’ ti portava in tribunale.

Captain Crunch costruiva blue box nel suo garage e rischiava il carcere. Oggi un ragazzino con le stesse competenze puo’ guadagnarsi da vivere legalmente, seduto al suo computer, trovando le stesse vulnerabilita’. Ci sono voluti quarant’anni, ma la cultura hacker ha trovato il suo posto nel mondo.

Fausto Pitzalis

Blogger dal 2001, Nativo Digitale, Developer.
Da 15 anni mi occupo di IT per una grande Azienda.
Lavoro per abbattere il Digital Divide.
Visita i miei altri progetti
sardiniamobility.com
www.cyberness.it