Sono completamente d'accordo con te. Ho avuto una piccola "lotta" su Twitter a proposito degli incentivi che un pentester avrebbe nell'andare verso il "dark", e molti - soprattutto americani - commentavano sul fatto che il mondo infosec paga bene e puoi vivere di bug bounty. Ho fatto notare quanto sia relativamente facile tirare su centinaia di migliaia di dollari in pochi mesi con una botnet e quanto invece sia molto difficile guadagnare con il bug bounty - l'articolo mostra i numeri, ma non mostra gli ostacoli che ci sono nell'accedere a certi programmi e i paletti per essere remunerato. Spesso le condizioni o le circostanze fanno sì che il ricercatore non venga pagato; altre volte, non puoi partecipare se sei residente di uno dei paesi che casualmente emana più botnet...
Personalmente, nella mia precedente azienda abbiamo tentato la creazione di un programma di bug bounty, ma è stato impossibile da implementare: semplicemente la società che avrebbe dovuto supportarci non ha la minima concezione di cosa "privacy", "GDPR", "Europa", "leggi al di fuori degli USA" siano. Praticamente è stato talmente complicato che abbiamo abortito il progetto e deviato verso un programma di "crowd-testing" che offre molte più garanzie anche nel senso che indicavi tu (le responsabilità e i dettagli contrattuali sono molto meglio circoscritti e definiti, il primo tester cha ha sgarrato è stato segato dal programma alla velocità della luce, e tutti si sono attenuti alle nostre richieste per i testing...). Per noi ha funzionato molto meglio, e sospetto che molte altre grandi aziende europee possano avere problemi simili. Quindi, boh, forse col crowd-testing puoi accedere ad attività aggiuntive, ma sei in competizione con molti soggetti "affamati" che lavorano per un tozzo di pane. Cordiali saluti On Tue, 30 Apr 2019 at 12:29, tag 636 <[email protected]> wrote: > //apro una piccola parentesti per sull'argomento bugbounty, consigli di > avere delle assicurazioni personali > > Non son aggiornato sul mercato ass.vo in Italia, ma logica mi > consiglierebbe che una violazione penale, non possa essere coperta da > ass.ne, che di solito copre solo responsabilita' civile. > > Son convinto esistano coperture per danni piu' estese ma penso che siano > fuori dalla portata dell'individuo e ad-hoc per attivita' commerciale, es. > pentest shop...non ne ho mai sentito parlare di ass.ni disegnate per bug > bounter, ma forse son io che non son aggiornato sull'argomento. > > Chiedi in giro, ma considera che in caso di litigation e' la legislazione > del paese dei server a essere coinvolta, non dove risiedi tu, quindi se ti > riferisci a polizze controlla anche il contesto, cosa diversa con accordi > commerciali dove e' la registrazione della ditte e accordi a contratto, > sotto forma di servizi. > > Se pensi di aprire una consulting ass.ne e' obbligatoria secondo me e > troverai che per partecipare e' obbligatorio avere una certa copertura che > ogni RFP definira' in base al progetto. > > Con il bug bounty secondo me non ci campi e molti sostengono lo stesso > > https://www.theregister.co.uk/2019/01/15/bugs_bounty_salary/ > > ma magari e' come andare a pesca, qualcuno dice che ci mangia tutto il > mese, altri che e' bravura...ed altri che e' fortuna > > > > > -- Marco Ermini CISSP <https://www.youracclaim.com/badges/8043409c-09f3-452e-9f49-f39ebe2ab765/public_url>, CISA <https://www.youracclaim.com/badges/f89a0c23-37c4-4400-95c7-55997e784218/public_url>, CISM <https://www.youracclaim.com/badges/a22ae4c6-5d31-48c2-9125-8a8251b479a6/public_url>, ITILv3 <https://www.youracclaim.com/badges/75ea1136-106b-4450-890a-ba4288828bb6>, GCIH <https://www.youracclaim.com/badges/38f38130-d97a-4925-bc88-820609d99f51/public_url>, RCSS http://www.linkedin.com/in/marcoermini <https://www.vyte.in/markoer>
