Non uno e neanche due, ma oltre 500 hacker etici al servizio di imprese e pubbliche amministrazioni per risolvere problemi di cybersicurezza. WhiteJar è una startup innovativa che da aprile 2021 sta decisamente rivoluzionando il settore italiano con un approccio che si ispira alle migliori esperienze di oltre confine: si pensi alle community di HackerOne e Intigriti. “Una giara, un contenitore prezioso di competenze che mette a disposizione l’hacking etico, quello dei white hat, i paladini della sicurezza”, ci racconta Aldo Del Bo’, co-fondatore della società insieme a Luca Manara, Ceo di Unguess, che controlla la startup.
La genesi di WhiteJar
In principio esisteva AppQuality (oggi Unguess), una piattaforma di crowdtesting composta da specialisti di tutto il mondo. In pratica una struttura a cui ti rivolgi quando vuoi capire se il tuo servizio digitale, ecommerce o applicazione è adeguato sotto il profilo dell’esperienza utente, stabilità, livello di bug o altre criticità. Aldo Del Bo’ ha la felice intuizione di proporre al Ceo di AppQuality una declinazione della sua piattaforma completamente dedicata alla cybersicurezza. L’idea è vincente e soprattutto Del Bo’ vanta un’esperienza quindicinale in una delle società leader del settore: Kaspersky. Tra il 2020 e il 2021 si concretizza lo scouting degli hacker bianchi e lo sviluppo della piattaforma.
“Abbiamo selezionato un gruppo di hacker etici italiani per di più certificati; parliamo di oltre 500 professionisti che magari di giorno svolgono un’attività principale e di notte accolgono le sfide lanciate dai nostri clienti”, prosegue Del Bo’.
Bounty hunter, veri cacciatori di taglie
Il meccanismo e il modello di business di WhiteJar è semplice: le imprese o la PA mettono delle vere e proprie taglie sulla cybersicurezza che li riguarda. Ad esempio trovare falle in software o servizi online: dal cosiddetto penetration test al vulnerability assessment; praticamente simulazione di attacchi informatici e valutazioni di vulnerabilità. Gli hacker si candidano a quelle che in gergo si definiscono bug security campaign e se raggiungono l’obiettivo vengono ricompensati in base a quanto stabilito appunto dalla taglia. Da queste WhiteJar trattiene poi una piccola commissione per assicurare la qualità e lo sviluppo della piattaforma di intermediazione.
“Tutti hanno falle, difficile che al primo giro qualcuno sia impeccabile. Ma noi abbiamo una marcia in più rispetto a tutti gli altri perché i nostri hacker sono zelanti per natura e dopo aver individuato falle prescrivono anche le soluzioni”, spiega il co-fondatore della startup. Ovviamente le imprese sono supportate nella creazione della bug security campaign e se lo desiderano possono stabilire parametri più rigorosi di selezione dei candidati oppure addirittura un gruppo chiuso di hacker con accordi di riservatezza che escludano il resto della community. “Oggi si rivolgono a noi soprattutto grandi imprese poiché il nostro abbonamento è da circa 20mila euro, dopodiché sono libere di pubblicare gli annunci sulla piattaforma. Le PMI le raggiungiamo tramite un programma di Managed Security Service Provider (Mssp) che fornisce singoli servizi esterni”, ci racconta Del Bo’.
Una tradizionale società di cybersicurezza di solito quando viene chiamata a replicare penetration test si affida ovviamente agli stessi dipendenti. Con WhiteJar invece si può lanciare una bug security campaign quante volte si desidera e potenzialmente a ogni giro far partecipare hacker diversi. Considerando la velocità di evoluzione tecnologica, questo può trasformarsi in un testing continuo dei propri asset. Giusto per comprendere la portata del problema è bene ricordare che secondo un Report Almaviva del 2020 circa l’84% delle imprese italiane è esposta a rischi a causa di applicazioni obsolete magari non aggiornate. Ecco spiegato il senso della valutazione delle vulnerabilità.
Pa ancora timida
Aldo Del Bo’ vive e lavora a Londra dal 2016 e ammette che da allora in Italia alcune cose non sono cambiate. “In alcune realtà ci sono le stesse persone e ritrosie. Rilevo una diffusa difficoltà ad approcciare l’innovazione. Nonostante le aziende siano cresciute, in molti casi le competenze sono rimaste al palo. Abbiamo avviato un dialogo con diverse pubbliche amministrazioni, ma siamo ancora in attesa di risposte”, spiega l’esperto.
Pare che una delle obiezioni più frequenti sia quella del collaborare con “gente che non si conosce”. In effetti se ti rivolgi a una community non c’è un volto, ma un gruppo di professionisti che magari opera in orari bizzarri e che a volte tira fuori soluzioni da un cilindro; per altro con un’età media tra i 24 e i 30 anni. “Però dove la trovano una piattaforma aperta h24 e 365 giorni all’anno con centinaia di hacker etici certificati capaci di una sorveglianza costante?”, dice Del Bo’.
Il futuro è nella formazione
Il 9 febbraio scorso, in occasione della Giornata Mondiale della Cybersicurezza, WhiteJar è stato partner della sesta edizione della Cyberchallange.it, la principale iniziativa italiana per la ricerca e la formazione dei giovani, dai 16 e ai 24 anni, promossa dal Laboratorio nazionale di Cybersecurity del CINI (Consorzio Interuniversitario Nazionale per l’Informatica). Obiettivo: ricerca dei nuovi talenti della cybersicurezza che possano contrastare l’operato dei criminali informatici. Il tutto con il supporto del Ministero della Difesa e il riconoscimento del Ministero dell’Istruzione come progetto per la valorizzazione delle eccellenze.
L’operazione ha consentito di accogliere studenti delle superiori e delle università per dar vita tra giugno e luglio a competizioni locali e nazionali dedicate a crittografia, sicurezza web e software, analisi malware e altre aree tematiche. “Questa sarà la nostra futura generazione di paladini della sicurezza informatica. WhiteJar potrà accogliere quelli più bravi e aiutarli anche a certificarsi grazie alla nostra academy. Puntiamo a una community da 1000 hacker white-hat“, conclude Del Bo’.
Fonte : Repubblica
