Come funziona il mercato degli exploit? Cosa faccio se ho scoperto un bug, ho creato un codice che dimostra come sfruttate una vulnerabilità? A chi mi rivolgo?
Gestire la fase che segue una scoperta non è facile: rilasciare pubblicamente le informazioni immediatamente o cercare prima di contattare le software house? Distribuire i codici al mercato nero oppure rivolgersi a mediatori?
La scelta dipende dall’orientamento etico personale, su cui giocano diversi fattori, fattori difficili da valutare. Alcuni di questi fattori rientrano nella sfera psicologica; altri in quella economica.
Se l’orientamento personale ci spinge verso la legalità (almeno apparente…) il ricercatore che trova una vulnerabilità e crea il relativo codice exploit può vendere la propria scoperta. Esistono almeno due società che acquistano armi digitali.
La prima di queste è iDefense. Nel 2002 iDefense ha lanciato il suo “Vulnerability Contributor Program” formula dietro la quale si nasconde un vero e proprio mercato di exploit e vulnerabilità. Ogni vulnerabilità viene giudicata da iDefense in base all’impatto della vulnerabilità stessa (accesso remoto/locale, diffusione del OS/Software colpito…).
Tutto il processo di gestione del rapporto con la software house, fino alla pubblicazione (sotto marchio iDefense) dell’advisory viene curato dall’azienda. Al ricercatore non resta che occuparsi delle cose che più ama: cercare vulnerabilità. I pagamenti sono spediti sotto diverse forme, dall’assegno al paypal.
Più recente è l’iniziativa di TrippingPoint, la Zero Day Initiative (ZDI). Il meccanismo è del tutto uguale. ZDI compra le vulnerabilità dai ricercatori, le valuta e in base all’impatto calcola il compenso. Il rapporto con l’azienda viene curato daZDI, dalla segnalazione del bug fino allo sviluppo di filtri per IPS al supporto alla software house nello sviluppo della patch.
Se sei un ricercatore e non sai da dove iniziare la tua carriera prova con iDefense o ZDI.
PillolHacking.Net: I Migliori Articoli di Maggio 2009
Si chiude Maggio e vi segnalo quelli che secondo me sono stati i migliori articoli di PillolHacking di... ExploitHub: il Marketplace delle Armi Digitali
ExploitHub è il primo marketplace per armi digitali, dove per armi digitali si intendono gli strumenti... Vulnerabilità Critica in Windows WINS
Lo scorso 11 Agosto Microsoft ha rilasciato un Security Bulletin, (siglato MS09-039) e la relativa patch,... Cosa sono gli Zero-Day?
Gli zero-day (o 0day) sono tipi di attacchi informatici che sfruttano bug software non ancora noti e...
mag 21, 2009 at 08:51:50
AngeloR toglimi una curiosità, ma se uno trova una vulnerabilità e lo segnala alla rispettiva software house, non ha nessuna ricompensa? Se le softwr house non sostengono queste persone, è più che normale che poi ci si rivolga ad “altri”…
mag 21, 2009 at 19:29:57
In genere no. Se non ricordo male qualche anno fa Mozilla aveva lanciato un’iniziativa simile, non so com’è finita
mag 21, 2009 at 19:43:14
Pensavo che gli exploit “navigassero” in mercati più underground… bel post, conoscevo iDefense solo per sentito dire, adesso mi chiarisco un mucchio di cose.
Buona serata!
mag 21, 2009 at 19:51:05
@Franz: Ciao Franz! Naturalmente questo è il volto legale. Esiste anche un mercato underground di programmi, codici, botnet, exploit.
mag 22, 2009 at 11:12:15
Ho sentito dire che il più delle volte, se si segnalano degli exploit alle software house queste vanno su tutte le furie minacciando pesantemente chi gli ha fatto solo un favore…che gente!!!
mag 22, 2009 at 11:13:05
per chiarezza (ho riletto il commento e non si capisce) accusano il buon samaritano di essere un cracker!
mag 20, 2010 at 19:33:23
Articolo interessante.C’è da dire anche,in merito al mercato underground degli exploit,che esso è abbastanza riservato agli ‘addetti ai lavori’,non è facile reperire risorse online facilmente.