Gli esperti di HackerOne, del MIT e dell’università di Harvard hanno pubblicato uno studio sul mercato delle vulnerabilità di sicurezza, concentrandosi in particolare sulle falle dette “0-day” (attivamente sfruttate dai cyber-criminali e per cui non esiste ancora un rimedio), cercando di individuare il sistema più indicato per far aumentare il numero di bug rivelati tramite la pubblica piazza telematica.
L’analisi del mercato delle falle 0-day pone non pochi problemi, visto che bisogna prima di tutto prendere in considerazione sia il “mercato nero” (dove ricercatori black hat mettono all’asta i bug più preziosi per una montagna di quattrini) che le taglie messe a disposizione da aziende impegnate nel settore come Google.
Una delle ipotesi da tempo in circolazione prevede l’intervento diretto del governo USA, con l’offerta di somme di denaro a sei cifre per competere con i suddetti hacker black hat: si tratta di un’ipotesi impraticabile, spiegano i ricercatori, perché il numero di falle 0-day nei software vecchi e nuovi è potenzialmente infinito, mentre i soldi a disposizione delle autorità non cresce certo sulle nuvole.
A complicare ulteriormente il problema contribuisce il fatto che non tutti, tra gli esperti di codice in grado di scovare i bug di sicurezza, sono animati da motivazioni esclusivamente economiche: per questi hacker “politici” l’offerta di denaro potrebbe non essere la soluzione migliore.
Come se ne esce? I ricercatori sostengono la necessità di investire risorse economiche e tecnologiche sulla realizzazione di strumenti di analisi automatica in grado di assistere gli sviluppatori nei test di sicurezza del software all’atto della sua creazione. Anche se le taglie sui bug più pericolosi possono incentivare e velocizzare l’individuazione di falle (soprattutto sui software meno maturi), sul lungo periodo occorrerà migliorare la qualità del codice a monte.
Alfonso Maruccia