La Sicurezza all'asta online

Nasce un sito d'aste per la vendita di bug ed exploit per software e sistemi operativi. Per scavalcare i limiti dell'attuale strutturazione del bug hunting. Ma le polemiche non mancano

Roma – WabiSabiLabi è un nuovo portale svizzero, in funzione da pochi giorni, per la vendita di vulnerabilità e bug per qualsiasi tipo di sistema software. I suoi creatori mirano a creare una risorsa nella quale ricercatori, operatori della sicurezza e software company possano interagire in un mercato aperto , riconoscendo un adeguato compenso a chi investe il suo tempo nella ricerca dei difetti del lavoro altrui.

Secondo i numeri forniti da Herman Zampariolo, CEO dell’azienda, sarebbero circa 7mila l’anno le vulnerabilità rese pubbliche ed analizzate dagli operatori delle software house per porvi rimedio. Ma le stime di WSLabi parlano di un potenziale che supera i 139mila bug l’anno , che non vengono rivelati a causa della scarsa remunerazione di chi si impegna in questo settore.

Per garantire che non venga messa in vendita spazzatura, le vulnerabilità che si intende mettere in vendita vanno adeguatamente documentate ed inviate a WSLabi per un controllo. Quest’ultimo viene affidato ad un laboratorio definito “indipendente”, che si occupa di verificare quanto descritto e di fornire le prove che l’exploit o il bug descritto esistano e funzionino. Solo a questo punto il “prodotto” viene posto in vendita, a mezzo di un’asta o vendita a prezzo fisso , secondo i termini stabiliti dal venditore-scopritore.

Il valore di mercato di queste vulnerabilità per il momento è variabile. Alcune aziende offrono cifre tra i trecento e i mille dollari , mentre un buon exploit sul mercato nero è in grado di garantire fino a duemila dollari per transazione: lo stesso bug può essere venduto a più interlocutori.

Nelle intenzioni della società, c’è di ridare slancio alla ricerca etica dei problemi software in grado di generare danni. La vendita sul mercato nero è sì più lucrativa, ma molto spesso espone migliaia di navigatori a rischi non indifferenti in rete. Promuovendo uno spazio commerciale dove far incontrare la domanda, vale a dire chi il software lo produce, e l’offerta, cioè chi il software lo “smonta”, è auspicabile che possa generarsi un mercato sano e redditizio per entrambi.

Secondo WSLabi i margini potranno crescere fino a raddoppiarsi o, addirittura, decuplicarsi rispetto all’attuale borsa bianca: il valore di un singolo bug potrebbe salire fino a 20mila dollari, una cifra di tutto rispetto che ha ingolosito l’anonimo investitore che c’è dietro al nuovo portale, il quale spera di riuscire a quotare in borsa la società entro 18 mesi.

Una soluzione che tuttavia non convince tutti. “La mia preoccupazione è che sarà difficile operare un distinguo tra un acquirente legittimo e chi vuole semplicemente usare la vulnerabilità per fini riprovevoli” ha detto Robert “RSnake” Hansen, CEO di SecTheory. Una preoccupazione condivisa anche da altri , ma che WSLabi si dice pronta a fronteggiare: certo sarà difficile, nel mondo delle frodi informatiche e dei furti di identità .

Non solo. Le aziende sono in genere restie a pagare per conoscere i problemi del proprio software: preferiscono invece attribuire la scoperta all’autore, riconoscendogliene il merito e garantendo quindi sulla sua affidabilità. Ma di soldi si parla il meno possibile. Conclude infatti Hansen: “Molti dei grandi nomi dell’industria del software hanno ribadito molte volte che non pagheranno per le vulnerabilità, così come gli Stati Uniti non negoziano coi terroristi “.

Nonostante WSLabi sia in attività da pochi giorni, sono comunque già una mezza dozzina le vulnerabilità individuate e messe in vendita. Una riguarda il kernel Linux, un’altra Yahoo Messenger. I prezzi variano tra cinquecento e duemila euro: a salire o in modalità “compralo subito”, proprio come su eBay. Per i primi sei mesi il servizio sarà gratuito: in seguito sarà applicata una commissione del 10% sul prezzo di vendita, sia per il venditore che per l’acquirente.

Luca Annunziata

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Miclass scrive:
    Non si capisce
    Questo articolo è scritto malissimo...non si capisce niente! L'ho riletto due volte ma non mi pare proprio che spieghi come è stato possibile aggirare i captcha...il titolo mi pare fuorviante...
    • Edo78 scrive:
      Re: Non si capisce
      - Scritto da: Miclass
      Questo articolo è scritto malissimo...non si
      capisce niente! L'ho riletto due volte ma non mi
      pare proprio che spieghi come è stato possibile
      aggirare i captcha...il titolo mi pare
      fuorviante...Se avessi letto con attenzione avresti notato che l'articolo dice che gli esperti sono ancora dubbiosi su come sia stato possibile aggirare il captcha.Gli "esperti" dovrebbero leggere qui http://it.wikipedia.org/wiki/Captcha#Contromisure per farsi un idea ... e se prima di scrivere il tuo commento leggevi gli altri avresti trovato questo link in un'altra mia risposta.
    • fulmine scrive:
      Re: Non si capisce
      - Scritto da: Miclass
      Questo articolo è scritto malissimo...non si
      capisce niente! L'ho riletto due volte ma non mi
      pare proprio che spieghi come è stato possibile
      aggirare i captcha...il titolo mi pare
      fuorviante...Da quel che ho letto su altre testate informatiche (/.), pare che il captcha in questione venga offerto da decodificare ad un "umano" in cambio di libero accesso ad un sito porno.Oppure paghi degli indiani:http://www.getafreelancer.com/projects/Data-Processing-Data-Entry/Data-Entry-Solve-CAPTCHA.htmlhttp://www.getafreelancer.com/projects/PHP-ASP/yahoo-ocr-bypass-captcha.157160.html
      • complottism o2 scrive:
        Re: Non si capisce
        - Scritto da: fulmine
        - Scritto da: Miclass

        Questo articolo è scritto malissimo...non si

        capisce niente! L'ho riletto due volte ma non mi

        pare proprio che spieghi come è stato possibile

        aggirare i captcha...il titolo mi pare

        fuorviante...

        Da quel che ho letto su altre testate
        informatiche (/.), pare che il captcha in
        questione venga offerto da decodificare ad un
        "umano" in cambio di libero accesso ad un sito
        porno.va beh ma questo non è affatto nuovo!anche the ESP game è basato su questo e pure google image labelerdove sta la novità e la notizia? intendo dire che PI l'ha già trattata
  • Presid. Scrocco scrive:
    Mi spiegate questo captcha?
    Mi spiegate questo captcha? Si trova a questa pagina (http://sam.zoy.org/pwntcha/) che tratta della sicurezza dei vari metodi.Non oso dirvi cosa mi sembra... spero di sbagliarmi...http://sam.zoy.org/pwntcha/goatse-captcha.jpg
    • eccomi... scrive:
      Re: Mi spiegate questo captcha?
      Hai scoperto la backdoor del captcha...
    • anonimo01 scrive:
      Re: Mi spiegate questo captcha?
      - Scritto da: Presid. Scrocco
      Mi spiegate questo captcha? Si trova a questa
      pagina (http://sam.zoy.org/pwntcha/) che tratta
      della sicurezza dei vari
      metodi.

      Non oso dirvi cosa mi sembra... spero di
      sbagliarmi...

      http://sam.zoy.org/pwntcha/goatse-captcha.jpg :D se ti dico cos'è mi censurano il post :D
      • Pippo scrive:
        Re: Mi spiegate questo captcha?
        - Scritto da: anonimo01
        - Scritto da: Presid. Scrocco

        Mi spiegate questo captcha? Si trova a questa

        pagina (http://sam.zoy.org/pwntcha/) che tratta

        della sicurezza dei vari

        metodi.



        Non oso dirvi cosa mi sembra... spero di

        sbagliarmi...



        http://sam.zoy.org/pwntcha/goatse-captcha.jpg

        :D se ti dico cos'è mi censurano il post :DForse ho capito... http://www.w3bdevil.com/forums/Goatse-Original.jpg
  • complottism o2 scrive:
    non ho capito come fa
    io l'articolo l'ho riletto parecchie volte ma non riesco a capire come facciano i furfanti a superare i captcha
    • floriano scrive:
      Re: non ho capito come fa
      - Scritto da: complottism o2
      io l'articolo l'ho riletto parecchie volte ma non
      riesco a capire come facciano i furfanti a
      superare i
      captchaneanche io, forse ogni tanto il troian manda un captcha all'utente chiedendogli (fittiziamente) di decifrarlo e poi il troian fa il resto..
    • Edo78 scrive:
      Re: non ho capito come fa
      - Scritto da: complottism o2
      io l'articolo l'ho riletto parecchie volte ma non
      riesco a capire come facciano i furfanti a
      superare i
      captchaSe seguivi il link alla wikipedia italiana avresti trovato anche questo http://it.wikipedia.org/wiki/Captcha#Contromisure
      • complottism o2 scrive:
        Re: non ho capito come fa
        - Scritto da: Edo78
        - Scritto da: complottism o2

        io l'articolo l'ho riletto parecchie volte ma
        non

        riesco a capire come facciano i furfanti a

        superare i

        captcha
        Se seguivi il link alla wikipedia italiana
        avresti trovato anche questo
        http://it.wikipedia.org/wiki/Captcha#Contromisureio continuo a non aver capito, rispetto all'articolo, nonostante abbia letto anche l'approfondimento (il riferimento) su wikipedia.forse si potrebbe scrivere più chiaramente ; non sarebbe un disonore eh...
        • Edo78 scrive:
          Re: non ho capito come fa
          - Scritto da: complottism o2
          io continuo a non aver capito, rispetto
          all'articolo, nonostante abbia letto anche
          l'approfondimento (il riferimento) su
          wikipedia.

          forse si potrebbe scrivere più chiaramente ; non
          sarebbe un disonore
          eh...Infatti nell'articolo c'è scritto solo :"ma pone molti interrogativi sul come il "trojan spammer" scavalchi la protezione sin qui offerta dai captcha." evidentemente chi ha scritto l'articolo non ha consultato bene nemmeno le stesse fonti che ha linkato.
          • Luca Annunziata scrive:
            Re: non ho capito come fa
            Salve, e grazie a tutti per le osservazioni.Purtroppo non sono state rilasciate specifiche o riferimenti precisi su come questo trojan agirebbe. Pertanto, onde evitare di fornire informazioni non corrette o incomplete, ho preferito limitarmi a riportare il fatto.Propendere per una ipotesi o per un'altra, necessiterebbe la verifica (diretta o indiretta): mancando quest'ultima, pubblicare qualunque informazione risulterebbe poco (per nulla) professionale. ;)Buona giornata a tutti. :)Luca
          • Edo78 scrive:
            Re: non ho capito come fa
            Ciò che dici è ineccepibile, peccato cozzi un po' con quanto scritto nell'articolo:"ma (fino ad oggi) quasi impossibile per gli algoritmi del calcolatore" quando su wikipedia si dice che già dal 2003 esistono metodi per aggirarli anzi, cito da wikipedia: "Greg Mori e colleghi hanno presentato nel 2003 un lavoro [1] che illustra come aggirare uno dei sistemi più diffusi per realizzare test captcha, EZ-Gimpy; tale approccio è efficace nel 92% dei casi."Quindi se proprio volevi dare risalto alla notizia del trojan potevi concentrarti sul fatto che nonostante esistano già da tempo molti modi diversi per aggirare i captcha i trojan capaci di aggirarli non siano ancora estremamente diffusi.Ovviamente IMHO.
          • Luca Annunziata scrive:
            Re: non ho capito come fa
            Il fatto che quell'algoritmo esista dal 2003 ma i captcha siano ancora in circolazione, probabilmente significa qualcosa.Non conosco il codice implementato, ma è possibile che sia computazionalmente troppo oneroso, o sia soggetto a pesanti condizioni operative per lavorare.Ad ogni modo, direi che trattandosi del primo esempio di trojan che al momento pare in grado di "fregarsene" dei captcha, la notizia non va troppo oltre quanto descritto. Fino ad oggi le immaginette da sole parevano in grado di arginare la spam, dal 4 luglio non è più cosi': almeno per 15mila account Hotmail.Ciò detto, chi scrive non è un tuttologo: pronti dunque ad essere smentiti o corretti quando capita di sbagliare. ;)
          • Edo78 scrive:
            Re: non ho capito come fa
            Io non mi aspetto che tu sia un tuttologo e ci mancherebbe, prima di approfondire su wikipedia dopo la lettura del tuo articolo nemmeno io ne sapevo niente. Resta il fatto che dopo aver letto la pagina di wikipedia risulta abbastanza ovvio che basta mettere su un sito con un po' di filmati porno gratis per avere una marea di volontari che inconsapevolmente ti risolvono i captcha di altri siti.Queste rende molto meno misteriosa una facile modalità a basso costo per fregare una mare di protezioni in poco tempo.Il fatto che gli spammer non ci siano arrivati prima è sorprendente, il fatto che adesso abbiano aperto gli occhi lo è un po' meno.
  • Prof. Virtuali scrive:
    HE HE HE HE!!!
    la fine degli stupidissimi captcha è vicina. TREMATEEEEEE!!!
Chiudi i commenti