Qualcuno mi ha dato dell’ “asino” leggendo la storia di Chris Roberts e l’allarme del Government Accountability Office americano. Lo stesso “asino”, che quasi un mese fa aveva riportato documenti ufficiali guardandosi bene dall’attribuirsi scoperte epocali dal vago sapore sensazionalistico, oggi si permette di segnalare che le compagnie aeree hanno davvero paura che i loro sistemi informatici possano avere un tallone d’Achille. Le conferme non sono mancate. Il comprensibile timore spazia dal rischio di violazione della riservatezza dei dati dei propri passeggeri fino a giungere ad ipotetiche ben più preoccupanti problematiche di sicurezza del volo.

United Airlines, premesso di aver adottato ogni cautela e di ritenere protetti i propri sistemi, ha così varato il “Bug Bounty Program”.

L’iniziativa apre virtualmente le porte a chiunque sia in grado di scoprire e riportare situazioni che possano compromettere la segretezza, l’integrità e la corretta disponibilità delle informazioni riguardanti la clientela e l’azienda. Ciascuna “prima scoperta” di un “bug” sarà premiata con il pagamento di una sorta di “taglia”. Chi si aspetta somme in denaro, come nei film western, sappia che la tabella dei riconoscimenti prevede la corresponsione di “miglia” utili per poi ottenere biglietti gratuiti.

La struttura dei premi fissa in un milione di miglia (sufficienti per girare il mondo intero) il bonus per chi individua rischi di livello elevato quale la possibilità di esecuzione di codici da remoto sui sistemi di United. Sono invece 250mila le miglia per chi rileva bug di media pericolosità, come – ad esempio – l’opportunità di superare indebitamente le procedure di autenticazione degli utenti legittimati ad accedere a specifiche procedure.

Anche il dare evidenza di pericoli di più basso profilo può far guadagnare 50mila miglia: è il caso dell’individuazione di cross-site scripting o di elementi di terze parti che possano compromettere la sicurezza di United Airlines. Per partecipare a questa sorta di sfida, che vale esclusivamente per le nuove vulnerabilità sconosciute a United, occorre essere membri Mileage Plus (l’equivalente del “Programma Millemiglia” della nostra compagnia di bandiera) oppure provvedere all’immediata iscrizione compilando la scheda di registrazione online presente sul sito della linea aerea.

Tra gli altri requisiti obbligatori la residenza: vietata l’adesione di soggetti che risiedano in uno dei Paesi inclusi nella “United States sanction list”. Porte sbarrate anche a dipendenti (e loro familiari e conviventi) di United o altre compagnie aderenti al network Star Alliance.

L’ultimo non trascurabile vincolo prevede che lo scopritore di un bug non sia l’autore dei medesimi codici vulnerabili (forse per evitare che gli stessi programmatori al servizio di United Airlines possano scatenarsi nella produzione di programmi bacati pur di vincere un volo premio…).

Il “concorso” prevede espliciti divieti al fine di evitare scenari apocalittici. Non è possibile dar luogo ad attacchi “brute-force” per acquisire password e privilegi di accesso, ad assalti Dos (“denial of service”) mirati a paralizzare i sistemi, all’aggressione a profili “MileagePlus” di altre persone per un successivo indebito utilizzo, alla minaccia o ad altre forme di coercizione nei confronti di dipendenti di United o di altre aziende della Star Alliance per farsi svelare eventuali segreti.

A dispetto di chi lo ritiene ambiente indipendente e innocuo, è vietato “any testing on aircraft or aircraft systems such as inflight entertainment or inflight Wi-Fi”: in pratica nel regolamento del “Bug Bounty Program” si legge “non vi azzardate a fare le prove sulla Wi-Fi o sui sistemi di intrattenimento a bordo…” A questo punto – dopo aver riportato senza guizzi di fantasia o suggestioni particolari il contenuto dell’ “invito” di United Airlines – credo sia legittimo porsi qualche banale domanda.

Quante organizzazioni non proprio parrocchiali hanno cercato di trovare hacker in grado di scardinare i sistemi informatici delle aziende di trasporto e dei relativi mezzi? Quanti non hanno offerto “punti” o “miglia” ma denaro o altre utilità? Quanti hanno “comprato” i segreti dei punti deboli e adesso sono pronti a servirsene?

Fermiamoci qui. Magari chiediamoci cosa si stia facendo per evitare qualche brutta sorpresa.

Twitter: @Umberto_Rapetto