Luca Annunziata

La Sicurezza all'asta online

Nasce un sito d'aste per la vendita di bug ed exploit per software e sistemi operativi. Per scavalcare i limiti dell'attuale strutturazione del bug hunting. Ma le polemiche non mancano

Roma - WabiSabiLabi è un nuovo portale svizzero, in funzione da pochi giorni, per la vendita di vulnerabilità e bug per qualsiasi tipo di sistema software. I suoi creatori mirano a creare una risorsa nella quale ricercatori, operatori della sicurezza e software company possano interagire in un mercato aperto, riconoscendo un adeguato compenso a chi investe il suo tempo nella ricerca dei difetti del lavoro altrui.

Secondo i numeri forniti da Herman Zampariolo, CEO dell'azienda, sarebbero circa 7mila l'anno le vulnerabilità rese pubbliche ed analizzate dagli operatori delle software house per porvi rimedio. Ma le stime di WSLabi parlano di un potenziale che supera i 139mila bug l'anno, che non vengono rivelati a causa della scarsa remunerazione di chi si impegna in questo settore.

Per garantire che non venga messa in vendita spazzatura, le vulnerabilità che si intende mettere in vendita vanno adeguatamente documentate ed inviate a WSLabi per un controllo. Quest'ultimo viene affidato ad un laboratorio definito "indipendente", che si occupa di verificare quanto descritto e di fornire le prove che l'exploit o il bug descritto esistano e funzionino. Solo a questo punto il "prodotto" viene posto in vendita, a mezzo di un'asta o vendita a prezzo fisso, secondo i termini stabiliti dal venditore-scopritore.
Il valore di mercato di queste vulnerabilità per il momento è variabile. Alcune aziende offrono cifre tra i trecento e i mille dollari, mentre un buon exploit sul mercato nero è in grado di garantire fino a duemila dollari per transazione: lo stesso bug può essere venduto a più interlocutori.

Nelle intenzioni della società, c'è di ridare slancio alla ricerca etica dei problemi software in grado di generare danni. La vendita sul mercato nero è sì più lucrativa, ma molto spesso espone migliaia di navigatori a rischi non indifferenti in rete. Promuovendo uno spazio commerciale dove far incontrare la domanda, vale a dire chi il software lo produce, e l'offerta, cioè chi il software lo "smonta", è auspicabile che possa generarsi un mercato sano e redditizio per entrambi.

Secondo WSLabi i margini potranno crescere fino a raddoppiarsi o, addirittura, decuplicarsi rispetto all'attuale borsa bianca: il valore di un singolo bug potrebbe salire fino a 20mila dollari, una cifra di tutto rispetto che ha ingolosito l'anonimo investitore che c'è dietro al nuovo portale, il quale spera di riuscire a quotare in borsa la società entro 18 mesi.

Una soluzione che tuttavia non convince tutti. "La mia preoccupazione è che sarà difficile operare un distinguo tra un acquirente legittimo e chi vuole semplicemente usare la vulnerabilità per fini riprovevoli" ha detto Robert "RSnake" Hansen, CEO di SecTheory. Una preoccupazione condivisa anche da altri, ma che WSLabi si dice pronta a fronteggiare: certo sarà difficile, nel mondo delle frodi informatiche e dei furti di identità.

Non solo. Le aziende sono in genere restie a pagare per conoscere i problemi del proprio software: preferiscono invece attribuire la scoperta all'autore, riconoscendogliene il merito e garantendo quindi sulla sua affidabilità. Ma di soldi si parla il meno possibile. Conclude infatti Hansen: "Molti dei grandi nomi dell'industria del software hanno ribadito molte volte che non pagheranno per le vulnerabilità, così come gli Stati Uniti non negoziano coi terroristi".

Nonostante WSLabi sia in attività da pochi giorni, sono comunque già una mezza dozzina le vulnerabilità individuate e messe in vendita. Una riguarda il kernel Linux, un'altra Yahoo Messenger. I prezzi variano tra cinquecento e duemila euro: a salire o in modalità "compralo subito", proprio come su eBay. Per i primi sei mesi il servizio sarà gratuito: in seguito sarà applicata una commissione del 10% sul prezzo di vendita, sia per il venditore che per l'acquirente.

Luca Annunziata
16 Commenti alla Notizia La Sicurezza all'asta online
Ordina
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 8 discussioni)