Sterling (USA) – I moderni cacciatori di taglie non cercano più teste, ma bug. A chi scopre un nuovo e pericoloso bug di Windows Vista o Internet Explorer 7, infatti, la nota società di sicurezza VeriSign è pronta a dare una ricompensa in denaro che può raggiungere i 12mila dollari .
Attraverso la neo acquisita iDefense Labs , VeriSign ha infatti indetto una competizione che assegnerà 8.000 dollari alle prime sei persone che scoveranno, in Vista o IE7, una vulnerabilità di sicurezza inedita e sfruttabile da remoto per eseguire del codice. Se la descrizione della falla verrà corredata anche dal codice di un exploit, iDefense pagherà all’autore una cifra extra compresa fra i 2mila e i 4mila dollari.
Come ricorda eWeek.com , iDefense non è l’unica società del settore a pagare i bug. La divisione TippingPoint di 3Com , ad esempio, ha avviato la Zero Day Initiative per ricompensare quei ricercatori indipendenti che scoprono nuove e pericolose debolezze all’interno dei software più noti, come antivirus, browser web, sistemi operativi e applicazioni per l’ufficio.
C’è poi il mercato clandestino , dove un nuovo exploit per Windows Vista può essere pagato – come testimoniato di recente da Trend Micro – fino a 50.000 dollari. Chi è disposto a pagare simili cifre difficilmente ha buoni intenti : una breccia nella sicurezza di software molto diffusi, come Windows, IE o Apache, può allettare molte tipologie di criminali, dai semplici truffatori ai terroristi.
Come ci si può immaginare, Microsoft è tutt’altro che entusiasta del nascere di un mercato delle vulnerabilità, anche quando questo è alimentato da iniziative legittime, come quella di iDefense. Secondo un portavoce del colosso di Redmond, infatti, fornire denaro in cambio di dettagli su una vulnerabilità “non è il modo migliore per aiutarci a proteggere i nostri clienti”.
Ti potrebbe interessare
12 gen 2007