Un ombrello di denari per i bug hunter

Verrà loro proposto di cedere i diritti sui bug report ad un intermediario che rafforzerà così i propri prodotti di sicurezza e comunicherà a modo suo le vulnerabilità alle softwarehouse

Roma - Il Gruppo 3Com, tra i leader del networking internazionale, ha deciso di dar vita ad un nuovo giochino che potrebbe forse metter fine alle numerose querelle che spesso dividono i bug hunter dalle società produttrici di software.

Gli scopritori di bachi, secondo il progetto annunciato dalla TippingPoint, azienda recentemente entrata in 3Com, potranno essere pagati per le loro scoperte. Queste, riferite alla stessa TippingPoint, non solo consentiranno a quest'ultima di aggiornare i propri prodotti di sicurezza per garantire stabilità dei sistemi di networking ma permetteranno all'azienda di porsi quale intermediario tra lo scopritore del baco e la società che produce il prodotto sul quale è stata rilevata la vulnerabilità.

"Vogliamo compensare ed incoraggiare la ricerca di sicurezza indipendente - ha sostenuto uno dei dirigenti di TippingPoint - nonché promuovere e garantire che le vulnerabilità siano comunicate in modo responsabile, oltre a fornire ai clienti 3Com la migliore sicurezza informatica del Mondo".
La strategia posta in essere da TippingPoint sembra quindi spingersi più in là di altre celebri iniziative che ammiccano ai bug hunter e trasformano il rapporto con questi ultimi in una relazione fruttuosa, come capita a Mozilla Foundation, che già in più occasioni ha remunerato scopritori di bachi.

Stando a quanto dichiarato da TippingPoint, gli esperti della società analizzeranno tutte le segnalazioni pervenute attraverso il sito dedicato ma solo quelle sottoposte da ricercatori affermati o da studiosi disponibili a farsi identificare. Una volta accertato il bug, TippingPoint farà un'offerta al bug hunter che dipenderà dalla gravità del baco: se questi accetterà l'offerta, TippingPoint acquisirà i diritti sul "bug report" che rimarrà comunque legato al nome dello scopritore.

Per TippingPoint, produttore di sistemi di prevenzione dalle intrusioni, l'annuncio di queste ore potrebbe rivelarsi di grande importanza ma rimane da vedere fino a che punto i bug hunter indipendenti, spesso poco ascoltati anche da importanti produttori, saranno disponibili ad affidarsi ad una "terza parte". C'è peraltro chi sostiene invece che i sesterzi di TippingPoint potrebbero spingere alcuni hunters a non cedere alle tentazioni della criminalità informatica, interessata ad acquisire, anche pagando, conoscenze su vulnerabilità utili a mettere in atto azioni di cracking. Non è evidentemente un caso che TippingPoint abbia scelto per annunciare l'iniziativa il primo giorno dei Black Hat USA 2005 Briefings, un appuntamento a Las Vegas che richiama proprio esperti di sicurezza e smanettoni di varia natura.
17 Commenti alla Notizia Un ombrello di denari per i bug hunter
Ordina
  • Fino a un mesetto fa non ne avevo mai sentito parlare... poi mi hanno appioppato un paio di loro prodotti da installare da un cliente e devo dire che non sono male... pochissimi falsi positivi... interfaccia abbastanza buona...

    In ogni caso li uso da molto poco, ma il primo impatto è positivo... l'unico solito problema è che costano un botto.... (server + appliance quasi top di gamma 90mila euro....)

    Fabio D.
    non+autenticato

  • - Scritto da: Anonimo
    > Come da oggettoA bocca aperta
    ah questo è certo! troverà milioni di bagssss
    non+autenticato
  • Lui è già oberatissimo, però...Con la lingua fuori
    non+autenticato

  • - Scritto da: Anonimo
    > Come da oggettoA bocca aperta

    non credo, visto che:
    " [...] gli esperti della società non analizzeranno tutte le segnalazioni pervenute attraverso il sito dedicato ma solo quelle sottoposte da ricercatori affermati o da studiosi [...] "
    non+autenticato
  • - Scritto da: Anonimo
    > non credo, visto che:
    > " [...] gli esperti della società non
    > analizzeranno tutte le segnalazioni pervenute
    > attraverso il sito dedicato ma solo quelle
    > sottoposte da ricercatori affermati o da studiosi
    > [...] "

    E' molto conosciuto e recensito sui motori di ricerca, come disse una signora una volta...
    non+autenticato
  • Stessa cosa anche per iDefense ed a quanto pare funziona visto che il 99% dei loro advisory e' di "esterni", pero' vedere queste persone che si vendono come puttane mi fa' schifo.
    Certo puo' essere un lavoro pero' personalmente vedo la ricerca come un divertimento ed un hobby, tutto qui.
    non+autenticato

  • - Scritto da: Anonimo
    > Stessa cosa anche per iDefense ed a quanto pare
    > funziona visto che il 99% dei loro advisory e' di
    > "esterni", pero' vedere queste persone che si
    > vendono come puttane mi fa' schifo.
    > Certo puo' essere un lavoro pero' personalmente
    > vedo la ricerca come un divertimento ed un hobby,
    > tutto qui.

    Allora tutti i venditori sono puttane. Il commercio stesso e' un puttanificio. Ma anche il lavoro operaio e' una prostituzione della propria forza lavoro.
    Sei un idealista, al mondo tocca mangia' e meglio se lo si fa 2 volte al giorno
    non+autenticato
  • > Sei un idealista, al mondo tocca mangia' e meglio
    > se lo si fa 2 volte al giorno

    Il problema e' anche il fatto che queste sono aziende statunitensi che sono un po' "strane" quando si tratta di pagare qualcuno.
    La stessa iDefense se non erro paga ad un anno di distanza dalla segnalazione del bug... e poi vatti a fidare:

    http://www.idefense.com/poi/teams/vcp_reward_progr...

    e fai caso agli asterischi.

    Comunque si sono un'idealista ma ho cercato di essere piu' obbiettivo stavolta.
    non+autenticato

  • Si bella!! Ma che succede se poi quei report non arrivano da nessuna parte e la Titilling poi li usa per i propri comodi e non li fa vedere a chi ha i buchi? Che garanzie ci sono???


    psss tra l'altro andrebbe visto quanto scuciono...
    non+autenticato

  • - Scritto da: Anonimo
    >
    > Si bella!! Ma che succede se poi quei report non
    > arrivano da nessuna parte e la Titilling poi li
    > usa per i propri comodi e non li fa vedere a chi
    > ha i buchi? Che garanzie ci sono???

    O magari chiede "il pizzo" minacciando di non rivelare i bug di cui e' a conoscenza (dato che il bug hunter dovra' firmare un NDA all'atto del pagamento, altrimenti il gioco non regge)?
    non+autenticato

  • - Scritto da: Anonimo

    > O magari chiede "il pizzo" minacciando di non
    > rivelare i bug di cui e' a conoscenza (dato che
    > il bug hunter dovra' firmare un NDA all'atto del
    > pagamento, altrimenti il gioco non regge)?

    E' un nuovo business.
    Compra per pochi soldi i report dei bug hunter, e li rivende a tanto alle società produttrici del prodotto buggato.

    non+autenticato


  • > E' un nuovo business.
    > Compra per pochi soldi i report dei bug hunter, e
    > li rivende a tanto alle società produttrici del
    > prodotto buggato.

    Ma poi il libero mercato fa il suo dovere e queste societa' di intermediazione verrebbero scavalcate e il bug-hunter potrebbe andare direttamente da M$ che sara' ben contenta di pagare meno per un bug-report.
    Benvenga il nuovo business.
    Solo aualche anno fa, se ricordate, a un bug-hunter poteva anche capitare di essere denunciato.
    non+autenticato
  • - Scritto da: Anonimo
    > Ma poi il libero mercato fa il suo dovere e
    > queste societa' di intermediazione verrebbero
    > scavalcate e il bug-hunter potrebbe andare
    > direttamente da M$ che sara' ben contenta di
    > pagare meno per un bug-report.
    > Benvenga il nuovo business.

    No forse non hai capito con l'informazione riguardo al bug lo scopritore vende anche i diritti ad esso connesso, nel senso che non può più divulgarlo ad alcun altro! Sono semplicemente delle nuove case discografiche!
    non+autenticato
  • Vabbè, al bug successivo...
    non+autenticato


  • > No forse non hai capito con l'informazione
    > riguardo al bug lo scopritore vende anche i
    > diritti ad esso connesso, nel senso che non può
    > più divulgarlo ad alcun altro! Sono semplicemente
    > delle nuove case discografiche!

    Ho capito benissimo.
    Infatti io ipotizzo che il bug-hunter, una volta avviata la pratica che i bug-report si pagano, decide lui a chi vendere i diritti della sua scoperta e lo fara' al migliore offerente che sia la M$ o a queste societa' di intermediazione.
    non+autenticato
  • - Scritto da: Anonimo
    > Ho capito benissimo.
    > Infatti io ipotizzo che il bug-hunter, una volta
    > avviata la pratica che i bug-report si pagano,
    > decide lui a chi vendere i diritti della sua
    > scoperta e lo fara' al migliore offerente che sia
    > la M$ o a queste societa' di intermediazione.

    Non penso sia giusto creare un business del genere, dove alcuni bug anche gravi potrebbero non essere mai rivelati nel caso la software house non accettasse i prezzi praticati da questi "gestori di diritti". Il problema con queste grandi organizzazioni è che non si può patteggiare dal lato del bug hunter, che potrebbe anche avere l'interesse a che il bug sia rivelato comunque se dopo un tot l'azienda non accetta di pagare, mentre le società intermediarie se ne fregherebbero totalmente.
    non+autenticato