Alfonso Maruccia

Mercato delle vulnerabilitÓ, i soldi non bastano

I ricercatori studiano il metodo pi¨ efficace per incrementare la disclosure delle vulnerabilitÓ nel software e analizzano il mercato delle falle. Un mercato non necessariamente governato dalla legge della domanda e dell'offerta

Roma - Gli esperti di HackerOne, del MIT e dell'università di Harvard hanno pubblicato uno studio sul mercato delle vulnerabilità di sicurezza, concentrandosi in particolare sulle falle dette "0-day" (attivamente sfruttate dai cyber-criminali e per cui non esiste ancora un rimedio), cercando di individuare il sistema più indicato per far aumentare il numero di bug rivelati tramite la pubblica piazza telematica.

L'analisi del mercato delle falle 0-day pone non pochi problemi, visto che bisogna prima di tutto prendere in considerazione sia il "mercato nero" (dove ricercatori black hat mettono all'asta i bug più preziosi per una montagna di quattrini) che le taglie messe a disposizione da aziende impegnate nel settore come Google.

Una delle ipotesi da tempo in circolazione prevede l'intervento diretto del governo USA, con l'offerta di somme di denaro a sei cifre per competere con i suddetti hacker black hat: si tratta di un'ipotesi impraticabile, spiegano i ricercatori, perché il numero di falle 0-day nei software vecchi e nuovi è potenzialmente infinito, mentre i soldi a disposizione delle autorità non cresce certo sulle nuvole.
A complicare ulteriormente il problema contribuisce il fatto che non tutti, tra gli esperti di codice in grado di scovare i bug di sicurezza, sono animati da motivazioni esclusivamente economiche: per questi hacker "politici" l'offerta di denaro potrebbe non essere la soluzione migliore.

Come se ne esce? I ricercatori sostengono la necessità di investire risorse economiche e tecnologiche sulla realizzazione di strumenti di analisi automatica in grado di assistere gli sviluppatori nei test di sicurezza del software all'atto della sua creazione. Anche se le taglie sui bug più pericolosi possono incentivare e velocizzare l'individuazione di falle (soprattutto sui software meno maturi), sul lungo periodo occorrerà migliorare la qualità del codice a monte.

Alfonso Maruccia
Notizie collegate
  • SicurezzaGoogle, quando la disclosure può attendereL'ultimatum della pubblicazione dei dettagli delle falle diventa meno rigido: Mountain View terrÓ conto dei giorni festivi, e concederÓ proroghe alle aziende che mostrino buona volontÓ. Microsoft non Ŕ pienamente soddisfatta
  • SicurezzaPatch Tuesday, Microsoft contro falle vecchie e nuoveRedmond ha rilasciato un corposo pacchetto di aggiornamenti, una lunga lista di update che prende in considerazione problemi emersi di recente come FREAK (sistemato anche da Apple) ma anche difetti vecchi di anni, di cui abusava Stuxnet