Il mercato nero delle vulnerabilità

E' stato recentemente pubblicato un report dedicato al mercato delle vulnerabilità informatiche stilato grazie ad una collaborazione tra i ricercatori dell'Università di Harvard, gli studiosi del MIT (Massachusetts Institute of Technology) e i collaboratori di HackerOne; la rilevazione farebbe emergere un panorama particolarmente complesso se non addirittura confuso.

A rendere particolarmente interessante questa iniziativa sarebbe il fatto che essa è stata incentrata sulle cosiddette falle 0-day, cioè problematiche non ancora note o non rese pubbliche dai loro scopritori; si tratta di vulnerabilità attorno alle quali si muoverebbe un giro d'affari di entità rilevante ma difficilmente tracciabile.

Sostanzialmente esisterebbero tre modalità per guadagnare tramite una falla O-day: partecipare ad un programma per il bug hunting come per esempio quello attivato da Google per i propri software, mettere all'asta la vulnerabilità rilevata e cederla al miglior offerente o, nell'ipotesi meno augurabile per i produttori, sfruttarla per un eventuale attacco.

Alcuni analisti avrebbero proposto che siano i governi stessi ad offrire soldi in cambio di informazioni sulle falle 0-day, ma per quanto un'ipotesi del genere possa rappresentare un aiuto per le aziende e le organizzazioni coinvolte, il numero di vulnerabilità scoperte finirebbe comunque per risultare troppo elevato per le casse istituzionali.

A questo punto l'unica soluzione praticabile potrebbe essere quella dell'information disclosure immediata, rendere pubblica l'esistenza di una falla la renderebbe meno appetibile nel mercato nero; ma anche tale contromisura potrebbe rivelarsi inefficace se la qualità media del codice sorgente prodotto non dovesse migliorare in futuro.