Forse non tutti sanno che…. le società di sicurezza, come ad esempio iDefense (società della Verisign) ha in corso una campagna che premia eventuali buchi scoperti in specifici prodotti con cifre che arrivano ai 16.000 dollari.

Non si tratta di un’eccezione, tutt’altro. Sono molte le società di sicurezza che comprano ufficialmente vulnerabilità o proof of concept (ovvero il codice che dimostra come la vulnerabilità possa essere esploitata).

Il fenomeno è interessante, ma non certo sorprendente.

In fondo queste società fondano la loro capacità di vendita di prodotti di sicurezza anche sulla capacità di arrivare tempestivamente all’individuazione di soluzioni che risolvano o almeno tamponino le vulnerabilità dei sistemi.

E quale modo migliore di farlo se non venendo a conoscenza per primi di queste vulnerabilità?

C’è inoltre un fattore correlato al guadagno di immagine che queste società possono raggiungere attraverso la pubblicazione di queste vulnerabilità e delle possibili soluzioni associate.

Vi faccio notare che le cifre messe in palio sono significative ed interessanti, ma assolutamente marginali rispetto a quello che può essere l’impegno di tempo e la professionalità necessaria per individuare simili vulnerabilità.

Inoltre va considerato che è sempre possibile vendere quelle stesse vulnerabilità sul mercato underground, dove i prezzi possono essere molto molto più elevati.

Anche in questo caso si tratta di puro tornaconto economico. Individuare infatti una vulnerabilità Zero Day sconosciuta significa per un hacker poter mettere le mani su migliaia di computer da poter poi utilizzare per le più disparate attività illegali, ma renumerative, come lo spamming, l’hosting di materiale illegale, gli attacchi verso siti a scopo di ricatto ed altro ancora.

E siamo solo all’inizio della storia…