Milioni di dollari per chi scova i top Zero-Day

Se il vostro sogno è diventare milionari, oltre che puntare a vincere la lotteria, il super bingo o il gratta & vinci, avete ora una nuova chance per cambiare vita: scovare una vulnerabilità software.

E potreste incassare cifre sempre più alte nel caso abbiate un particolare talento (o parecchia fortuna). Infatti, la qualità e la sicurezza dei software sono fortunatamente in crescita (seppur con grande lentezza), dunque le probabilità di “bucare” un software, già infinitesimali, tenderanno a ridursi sempre più. Per cui i prezzi subiscono un forte trend al rialzo.

Rispetto agli ultimi dati di cui avevamo parlato in questo articolo pubblicato ad aprile, i prezzi si sono infatti decisamente impennati. Vendere uno Zero-Day, ovvero la conoscenza di una “vulnerabilità software non nota”, può rendere oggi fino a tre milioni di dollari.

Sono dati freschi, ribaditi a fine novembre da Crowdfense, un Vulnerability Research Hub con sede negli Emirati Arabi Uniti. Di fatto si tratta di una società specializzata nel “commercializzare” i “top quality Zero-Day” di IOS (il sistema operativo che fa funzionare gli iPhone), Android (prodotto da Google e montato sulla maggior parte degli altri smartphone), Windows e MacOS (computer della Apple).

hacker-1

Da qualche mese, Crowdfense ha lanciato un Bug Bounty, un concorso per hacker (o meglio, per “ricercatori”, come li definisce Crowdfense) finanziato con dieci milioni di dollari.

Gli Zero-Day acquistati vengono rivenduti ad agenzie governative di intelligence e a forze di polizia alla disperata e continua ricerca di mantenere aggiornati i loro arsenali digitali.

Il fatto che Crowdfense non renda disponibili tali vulnerabilità alle case produttrici (che li utilizzerebbero per migliorare i loro prodotti) ha generato molto clamore.

Questa dura realtà si scontra infatti duramente con la strategia, tanto declamata in passato, volta ad aumentare il numero dei ricercatori di aziende ed università impegnati nell’analizzare la qualità del software per ridurre le vulnerabilità e garantire maggior sicurezza.
Per approfondire e riflettere meglio, può essere utile tentare di dare un risposta a tre semplici domande:

  • Quanti governi, delle cosiddette nazioni civilizzate, pensate siano realmente disposti a condividere i propri Zero-Day con i governi alleati ed amici?
  • In generale, preferireste che uno 0-day fosse acquistato da un’agenzia governativa o da un gruppo di cyber criminali?
  • Quanti ricercatori universitari, retribuiti con gli stipendi ben noti a tutti coloro che ci leggono, in possesso di uno 0-day sarebbero pronti a condividerlo con le case produttrici (Apple, Google, Microsoft), rinunciando dunque a milioni (non migliaia, ma milioni !!!) di dollari?

Se alla fine di questo articolo, comunque non aveste scrupoli e decideste di cambiare vita per diventare cacciatori di Zero-Day, potreste subito consultare qui https://www.crowdfense.com/bug-bounty-program.html le regole del Bug Bounty di Crowdfense, incluso il listino prezzi di acquisto sempre aggiornato.

Ai più attenti non sfuggirà certamente che il prezzo di uno Zero-Day per uno smartphone Android (up to 1,5-3M$) vale come quello di un iPhone. Un segnale che la sicurezza di Android stia finalmente raggiungendo quella di IOS?

Foto: Tech Republic e Yalujailbreak

 

Eugenio Santagata, Andrea MelegariVedi tutti gli articoli

Eugenio Santagata: Laureato in giurisprudenza presso l'Università di Napoli e in Scienze Politiche all'Università di Torino, ha conseguito un MBA alla London Business School e una LL.M alla Hamline University Law School. Ha frequentato la Scuola Militare Nunziatella a Napoli e l'Accademia Militare di Modena. Da ufficiale ha ricoperto ruoli militari operativi per poi entrare nel settore privato dando vita a diverse iniziative nel campo dell'hi-tech. E' stato CEO di CY4Gate e Vice Direttore Generale di Elettronica. Dall’aprile 2021 è CEO di Telsy. --- Andrea Melegari: Laureato in Informatica, ha insegnato per oltre 10 anni all'Accademia Militare di Modena. Dal 2000 si è specializzato nello sviluppo e nell'impiego delle tecnologie di Intelligenza Artificiale in ambito civile e militare. Tra gli incarichi ricoperti SEVP Defense, Intelligence & Security di Expert AI, Chief Marketing & Innovation Officer di CY4Gate. E' stato anche membro del CdA delle società Expert AI, CY4Gate e Expert System USA (Washington DC area). Dal luglio 2021 lavora presso una azienda tecnologica di un importante Gruppo industriale italiano.

Login

Benvenuto! Accedi al tuo account

Ricordami Hai perso la password?

Lost Password

My Agile Privacy
Questo sito utilizza cookie tecnici e di profilazione. Cliccando su accetta si autorizzano tutti i cookie di profilazione. Cliccando su rifiuta o la X si rifiutano tutti i cookie di profilazione. Cliccando su personalizza è possibile selezionare quali cookie di profilazione attivare. Inoltre, questo sito installa Google Analytics nella versione 4 (GA4) con trasmissione di dati anonimi tramite proxy. Prestando il consenso, l'invio dei dati sarà effettuato in maniera anonima, tutelando così la tua privacy.
Attenzione: alcune funzionalità di questa pagina potrebbero essere bloccate a seguito delle tue scelte privacy