Uno zero-day è un attacco che sfrutta una vulnerabilità di un software prima che questa venga neutralizzata dall’autore del software. Gli attacchi che cadono in questa categoria sono spesso destinati ad un gran successo, per ragioni che mi paiono facilmente comprensibili. Chi conosce queste vulnerabilità e sa come sfruttarle ha diverse scelte a disposizione: può avvisare il produttore del software, sperando nella sua gratitudine qualora non sia prevista una ricompensa, oppure può consegnarlo ad una di quelle aziende che comprano queste informazioni per poi integrarle all’interno dei propri sistemi di sicurezza, infine può metterla sul mercato e cercare di venderla al miglior prezzo.
Per le prime due opzioni esistono e sono ben documentati e pubblicizzati i programmi di diverse aziende. La terza opzione è quella portata alla luce più di recente da un bell’articolo di Andy Greenberg pubblicato da Forbes.
La storia è quella della francese Vupen, che ha avuto l’arroganza di sfidare Google dando pubblica dimostrazione di una vulnerabilità di Chrome ma senza documentare o consegnare l’exploit realizzato:
They declined to enter Google’s contest and instead dismantled Chrome’s security to win an HP-sponsored hackathon at the same conference. And while Google paid a $60,000 award to each of the two hackers who won its event on the condition that they tell Google every detail of their attacks and help the company fix the vulnerabilities they had used, Vupen’s chief executive and lead hacker, Chaouki Bekrar, says his company never had any intention of telling Google its secret techniques—certainly not for $60,000 in chump change.
In fondo, dicono a Vupen, non vogliamo mica che Google sappia come facciamo: questo privilegio lo riserviamo ai nostri affezionati clienti. Chi siano i loro clienti è abbastanza facile indovinarlo: agenzie governative e governi dell’area NATO. Come se Russi e Azeri fossero noti per culture e modi occidentali.
Pare che i clienti Vupen paghino 100 mila euro all’anno solo per il privilegio di poter sfogliare il catalogo e poi comprino senza neppure l’esclusiva. Altri intermediari contrabbandano tariffe diverse a seconda delle modalità di vendita.
Questo livello di sicurezza informatica è diverso da quello degli antivirus e della disabilitazione delle finestra pop-up nel browser. E sebbene non impatti direttamente sull’esperienza di computing personale, forse ha conseguenze complessive ben maggiori nel Grande Gioco della Riservatezza dei Dati.
L'autore
Iscriviti alla newsletter
Novità, promozioni e approfondimenti per imparare sempre qualcosa di nuovo
