I Mercanti delle Armi Digitali

Come funziona il mercato degli exploit? Cosa faccio se ho scoperto un bug, ho creato un codice che dimostra come sfruttate una vulnerabilità? A chi mi rivolgo?

Gestire la fase che segue una scoperta non è facile: rilasciare pubblicamente le informazioni immediatamente o cercare prima di contattare le software house? Distribuire i codici al mercato nero oppure rivolgersi a mediatori?

La scelta dipende dall’orientamento etico personale, su cui giocano diversi fattori, fattori difficili da valutare. Alcuni di questi fattori rientrano nella sfera psicologica; altri in quella economica.

Se l’orientamento personale ci spinge verso la legalità (almeno apparente…) il ricercatore che trova una vulnerabilità e crea il relativo codice exploit può vendere la propria scoperta. Esistono almeno due società che acquistano armi digitali.

La prima di queste è iDefense. Nel 2002 iDefense ha lanciato il suo “Vulnerability Contributor Program” formula dietro la quale si nasconde un vero e proprio mercato di exploit e vulnerabilità. Ogni vulnerabilità viene giudicata da iDefense in base all’impatto della vulnerabilità stessa (accesso remoto/locale, diffusione del OS/Software colpito…).

Tutto il processo di gestione del rapporto con la software house, fino alla pubblicazione (sotto marchio iDefense) dell’advisory viene curato dall’azienda. Al ricercatore non resta che occuparsi delle cose che più ama: cercare vulnerabilità. I pagamenti sono spediti sotto diverse forme, dall’assegno al paypal.

Più recente è l’iniziativa di TrippingPoint, la Zero Day Initiative (ZDI). Il meccanismo è del tutto uguale. ZDI compra le vulnerabilità dai ricercatori, le valuta e in base all’impatto calcola il compenso. Il rapporto con l’azienda viene curato daZDI, dalla segnalazione del bug fino allo sviluppo di filtri per IPS al supporto alla software house nello sviluppo della patch.

Se sei un ricercatore e non sai da dove iniziare la tua carriera prova con iDefense o ZDI.

7 Commenti

  1. AngeloR toglimi una curiosità, ma se uno trova una vulnerabilità e lo segnala alla rispettiva software house, non ha nessuna ricompensa? Se le softwr house non sostengono queste persone, è più che normale che poi ci si rivolga ad “altri”…

  2. Pensavo che gli exploit “navigassero” in mercati più underground… bel post, conoscevo iDefense solo per sentito dire, adesso mi chiarisco un mucchio di cose.
    Buona serata!

  3. Ho sentito dire che il più delle volte, se si segnalano degli exploit alle software house queste vanno su tutte le furie minacciando pesantemente chi gli ha fatto solo un favore…che gente!!!

  4. per chiarezza (ho riletto il commento e non si capisce) accusano il buon samaritano di essere un cracker!

  5. Articolo interessante.C’è da dire anche,in merito al mercato underground degli exploit,che esso è abbastanza riservato agli ‘addetti ai lavori’,non è facile reperire risorse online facilmente.

2 Trackbacks / Pingbacks

  1. Diggitsport.com
  2. > ExploitHub: il Marketplace delle Armi Digitali | Giornale Blog

I commenti sono bloccati.