Successivo
Cyber sicurezza, tra verità e falsi miti: la guida aggiornata

Security

Zerodium aumenta il valore delle taglie per i bug zero-day

Alfonso Maruccia | 10 Gennaio 2019

Sicurezza

La società specializzata in compravendita di vulnerabilità incrementa sensibilmente le cifre che è disposta a spendere per accaparrarsi gli exploit […]

La società specializzata in compravendita di vulnerabilità incrementa sensibilmente le cifre che è disposta a spendere per accaparrarsi gli exploit più pregiati. Anche dalla UE arrivano “taglie” per i bug nel software open source.

Il business di Zerodium si è in questi giorni fatto più corposo (e invitante) per ricercatori e cacciatori di vulnerabilità di sicurezza, con la corporation statunitense che si è impegnata ad aumentare, a volte in maniera piuttosto significativa, le somme di denaro con cui verranno ricompensate le “cacce” ai bug coronate dal successo.

ZERODIUM è una piattaforma specializzata in vulnerabilità di sicurezza zero-day, vale a dire quel genere di falle sconosciute alle aziende produttrici ma già attivamente sfruttate dai cyber-criminali con attacchi “in the wild”. Il modello di business della corporation consiste nell’acquisizione delle suddette vulnerabilità, rivendendo poi l’accesso al codice degli exploit per cifre a un bel po’ di zeri.

Il programma di acquisizione delle falle 0-day di Zerodium indica i più disparati obiettivi, tra sistemi operativi e piattaforme mobile, browser e server Web, pannelli di gestione remota (cPanel in primis) e ogni genere di tecnologia di protezione avanzata. Come regola generale, più un bug è in grado di funzionare in modo automatico e senza l’intervento diretto dell’utente più la corporation è disposta a ricompensare chi lo ha individuato.

cerber-franchise-mondo-malware

Il nuovo regime di taglie deciso in questi giorni da Zerodium prevede un incremento delle cifre per tutti i pagamenti, e nel caso dei bug più pregati si parla di aumenti estremamente interessanti: un bug per il jailbreak remoto di iOS vale ora 2 milioni di dollari (contro i precedenti $1,5m), la compromissione di Windows con esecuzione di codice da remoto (RCE) sale a $1 milione (era $500.000), mentre sono raddoppiate le cifre ($1 milione) per le falle RCE nelle app di messaggistica come WhatsApp e iMessage.

Il business del cyber-warfare

La maggior parte dei sottoscrittori che hanno accesso alle vulnerabilità “commerciali” della piattaforma comprende grandi aziende e autorità governative interessate a studiare i bug o a sviluppare nuove capacità “offensive” in ambito di cyber-warfare, sostiene Zerodium, e non mancano i casi in cui le falle sono state usate per “fare del bene” come nel contrasto al cyber-crimine e al pedoporno sulla darknet di Tor.

Quello che Zerodium non può oggettivamente fare, invece, è escludere che tra i suoi sottoscrittori siano presenti soggetti ben poco raccomandabili quando non addirittura realtà pienamente invischiate nelle attività cyber-criminali di cui sopra.

Un altro programma di taglie che non dovrebbe incappare in questo genere di problemi è invece quello deciso dall’Unione Europea, che sempre a gennaio ha deciso di fornire compensazioni generose – ma di certo non al livello dell’impresa commerciale di Zerodium – per chi scopre e rende nota la presenza di bug all’interno dei software FOSS utilizzati in ambito comunitario. La lista dei prodotti interessati include il client FTP FileZilla (€58.000), Notepad++ (€71.000), VLC media player (€58.000) e molti altri.