Se il vostro sogno è diventare milionari, oltre che puntare a vincere la lotteria, il super bingo o il gratta & vinci, avete ora una nuova chance per cambiare vita: scovare una vulnerabilità software. E potreste incassare cifre sempre più alte nel caso abbiate un particolare talento (o parecchia fortuna). Infatti, la qualità e la sicurezza dei software sono fortunatamente in crescita (seppur con grande lentezza), dunque le probabilità di “bucare” un software, già infinitesimali, tenderanno a ridursi sempre più. Per cui i prezzi subiscono un forte trend al rialzo. Rispetto agli ultimi dati di cui avevamo parlato in questo articolo pubblicato ad aprile, i prezzi si sono infatti decisamente impennati. Vendere uno Zero-Day, ovvero la conoscenza di una “vulnerabilità software non nota”, può rendere oggi fino a tre milioni di dollari. Sono dati freschi, ribaditi a fine novembre da Crowdfense, un Vulnerability Research Hub con sede negli Emirati Arabi Uniti. Di fatto si tratta di una società specializzata nel “commercializzare” i “top quality Zero-Day” di IOS (il sistema operativo che fa funzionare gli iPhone), Android (prodotto da Google e montato sulla maggior parte degli altri smartphone), Windows e MacOS (computer della Apple). Da qualche mese, Crowdfense ha lanciato un Bug Bounty, un concorso per hacker (o meglio, per “ricercatori”, come li definisce Crowdfense) finanziato con dieci milioni di dollari. Gli Zero-Day acquistati vengono rivenduti ad agenzie governative di intelligence e a forze di polizia alla disperata e continua ricerca di mantenere aggiornati i loro arsenali digitali. Il fatto che Crowdfense non renda disponibili tali vulnerabilità alle case produttrici (che li utilizzerebbero per migliorare i loro prodotti) ha generato molto clamore. Questa dura realtà si scontra infatti duramente con la strategia, tanto declamata in passato, volta ad aumentare il numero dei ricercatori di aziende ed università impegnati nell’analizzare la qualità del software per ridurre le vulnerabilità e garantire maggior sicurezza. Per approfondire e riflettere meglio, può essere utile tentare di dare un risposta a tre semplici domande:
- Quanti governi, delle cosiddette nazioni civilizzate, pensate siano realmente disposti a condividere i propri Zero-Day con i governi alleati ed amici?
- In generale, preferireste che uno 0-day fosse acquistato da un’agenzia governativa o da un gruppo di cyber criminali?
- Quanti ricercatori universitari, retribuiti con gli stipendi ben noti a tutti coloro che ci leggono, in possesso di uno 0-day sarebbero pronti a condividerlo con le case produttrici (Apple, Google, Microsoft), rinunciando dunque a milioni (non migliaia, ma milioni !!!) di dollari?

Se alla fine di questo articolo, comunque non aveste scrupoli e decideste di cambiare vita per diventare cacciatori di Zero-Day, potreste subito consultare qui: https://www.crowdfense.com le regole del Bug Bounty di Crowdfense, incluso il listino prezzi di acquisto sempre aggiornato. Ai più attenti non sfuggirà certamente che il prezzo di uno Zero-Day per uno smartphone Android (up to 1,5-3M$) vale come quello di un iPhone. Un segnale che la sicurezza di Android stia finalmente raggiungendo quella di IOS?

Fonte: https://www.analisidifesa.it