Il mercato nero delle vulnerabilità

  • Facebook
  • Twitter
  • Linkedin
  • Email
Il mercato nero delle vulnerabilità

E' stato recentemente pubblicato un report dedicato al mercato delle vulnerabilità informatiche stilato grazie ad una collaborazione tra i ricercatori dell'Università di Harvard, gli studiosi del MIT (Massachusetts Institute of Technology) e i collaboratori di HackerOne; la rilevazione farebbe emergere un panorama particolarmente complesso se non addirittura confuso.

A rendere particolarmente interessante questa iniziativa sarebbe il fatto che essa è stata incentrata sulle cosiddette falle 0-day, cioè problematiche non ancora note o non rese pubbliche dai loro scopritori; si tratta di vulnerabilità attorno alle quali si muoverebbe un giro d'affari di entità rilevante ma difficilmente tracciabile.

Sostanzialmente esisterebbero tre modalità per guadagnare tramite una falla O-day: partecipare ad un programma per il bug hunting come per esempio quello attivato da Google per i propri software, mettere all'asta la vulnerabilità rilevata e cederla al miglior offerente o, nell'ipotesi meno augurabile per i produttori, sfruttarla per un eventuale attacco.

Alcuni analisti avrebbero proposto che siano i governi stessi ad offrire soldi in cambio di informazioni sulle falle 0-day, ma per quanto un'ipotesi del genere possa rappresentare un aiuto per le aziende e le organizzazioni coinvolte, il numero di vulnerabilità scoperte finirebbe comunque per risultare troppo elevato per le casse istituzionali.

A questo punto l'unica soluzione praticabile potrebbe essere quella dell'information disclosure immediata, rendere pubblica l'esistenza di una falla la renderebbe meno appetibile nel mercato nero; ma anche tale contromisura potrebbe rivelarsi inefficace se la qualità media del codice sorgente prodotto non dovesse migliorare in futuro.

Claudio Garau

Web developer, programmatore, Database Administrator, Linux Admin, docente e copywriter specializzato in contenuti sulle tecnologie orientate a Web, mobile, Cybersecurity e Digital Marketing per sviluppatori, PA e imprese.

Non perderti nessuna news!

I commenti degli utenti

I commenti sono liberi: non è necessario iscriversi per poter commentare su questa pagina. Tutti i commenti, tuttavia, sottoposti alle linee guida di moderazione e prima di essere visibili devono essere approvati da un moderatore.

Oppure leggi i commenti degli altri utenti