Milioni di dollari per chi scova i top Zero-Day
Se il vostro sogno è diventare milionari, oltre che puntare a vincere la lotteria, il super bingo o il gratta & vinci, avete ora una nuova chance per cambiare vita: scovare una vulnerabilità software.
E potreste incassare cifre sempre più alte nel caso abbiate un particolare talento (o parecchia fortuna). Infatti, la qualità e la sicurezza dei software sono fortunatamente in crescita (seppur con grande lentezza), dunque le probabilità di “bucare” un software, già infinitesimali, tenderanno a ridursi sempre più. Per cui i prezzi subiscono un forte trend al rialzo.
Rispetto agli ultimi dati di cui avevamo parlato in questo articolo pubblicato ad aprile, i prezzi si sono infatti decisamente impennati. Vendere uno Zero-Day, ovvero la conoscenza di una “vulnerabilità software non nota”, può rendere oggi fino a tre milioni di dollari.
Sono dati freschi, ribaditi a fine novembre da Crowdfense, un Vulnerability Research Hub con sede negli Emirati Arabi Uniti. Di fatto si tratta di una società specializzata nel “commercializzare” i “top quality Zero-Day” di IOS (il sistema operativo che fa funzionare gli iPhone), Android (prodotto da Google e montato sulla maggior parte degli altri smartphone), Windows e MacOS (computer della Apple).
Da qualche mese, Crowdfense ha lanciato un Bug Bounty, un concorso per hacker (o meglio, per “ricercatori”, come li definisce Crowdfense) finanziato con dieci milioni di dollari.
Gli Zero-Day acquistati vengono rivenduti ad agenzie governative di intelligence e a forze di polizia alla disperata e continua ricerca di mantenere aggiornati i loro arsenali digitali.
Il fatto che Crowdfense non renda disponibili tali vulnerabilità alle case produttrici (che li utilizzerebbero per migliorare i loro prodotti) ha generato molto clamore.
Questa dura realtà si scontra infatti duramente con la strategia, tanto declamata in passato, volta ad aumentare il numero dei ricercatori di aziende ed università impegnati nell’analizzare la qualità del software per ridurre le vulnerabilità e garantire maggior sicurezza.
Per approfondire e riflettere meglio, può essere utile tentare di dare un risposta a tre semplici domande:
- Quanti governi, delle cosiddette nazioni civilizzate, pensate siano realmente disposti a condividere i propri Zero-Day con i governi alleati ed amici?
- In generale, preferireste che uno 0-day fosse acquistato da un’agenzia governativa o da un gruppo di cyber criminali?
- Quanti ricercatori universitari, retribuiti con gli stipendi ben noti a tutti coloro che ci leggono, in possesso di uno 0-day sarebbero pronti a condividerlo con le case produttrici (Apple, Google, Microsoft), rinunciando dunque a milioni (non migliaia, ma milioni !!!) di dollari?
Se alla fine di questo articolo, comunque non aveste scrupoli e decideste di cambiare vita per diventare cacciatori di Zero-Day, potreste subito consultare qui https://www.crowdfense.com/bug-bounty-program.html le regole del Bug Bounty di Crowdfense, incluso il listino prezzi di acquisto sempre aggiornato.
Ai più attenti non sfuggirà certamente che il prezzo di uno Zero-Day per uno smartphone Android (up to 1,5-3M$) vale come quello di un iPhone. Un segnale che la sicurezza di Android stia finalmente raggiungendo quella di IOS?
Foto: Tech Republic e Yalujailbreak
Eugenio Santagata, Andrea MelegariVedi tutti gli articoli
Eugenio Santagata: Laureato in giurisprudenza presso l'Università di Napoli e in Scienze Politiche all'Università di Torino, ha conseguito un MBA alla London Business School e una LL.M alla Hamline University Law School. Ha frequentato la Scuola Militare Nunziatella a Napoli e l'Accademia Militare di Modena. Da ufficiale ha ricoperto ruoli militari operativi per poi entrare nel settore privato dando vita a diverse iniziative nel campo dell'hi-tech. E' stato CEO di CY4Gate e Vice Direttore Generale di Elettronica. Dall’aprile 2021 è CEO di Telsy. --- Andrea Melegari: Laureato in Informatica all'Università di Modena, è specializzato in tecnologia semantica a supporto dell'intelligence. Ha insegnato per oltre 10 anni all'Accademia Militare di Modena ed è Senior Executive Vice President, Defense, Intelligence & Security di Expert System. E' stato Chief Marketing & Innovation Officer di CY4Gate e membro del CdA di Expert System, CY4Gate e Expert System USA. Dal luglio 2021 è manager di Fincantieri Next Tech.