Bug di Vista: 8.000$. Dead or alive

Bug di Vista: 8.000$. Dead or alive

VeriSign avvia una competizione il cui ricco montepremi sarà spartito fra coloro che troveranno per primi sei gravi vulnerabilità di Windows Vista o IE7. Un nuovo trend?
VeriSign avvia una competizione il cui ricco montepremi sarà spartito fra coloro che troveranno per primi sei gravi vulnerabilità di Windows Vista o IE7. Un nuovo trend?

Sterling (USA) – I moderni cacciatori di taglie non cercano più teste, ma bug. A chi scopre un nuovo e pericoloso bug di Windows Vista o Internet Explorer 7, infatti, la nota società di sicurezza VeriSign è pronta a dare una ricompensa in denaro che può raggiungere i 12mila dollari .

Attraverso la neo acquisita iDefense Labs , VeriSign ha infatti indetto una competizione che assegnerà 8.000 dollari alle prime sei persone che scoveranno, in Vista o IE7, una vulnerabilità di sicurezza inedita e sfruttabile da remoto per eseguire del codice. Se la descrizione della falla verrà corredata anche dal codice di un exploit, iDefense pagherà all'autore una cifra extra compresa fra i 2mila e i 4mila dollari.

Come ricorda eWeek.com , iDefense non è l'unica società del settore a pagare i bug. La divisione TippingPoint di 3Com , ad esempio, ha avviato la Zero Day Initiative per ricompensare quei ricercatori indipendenti che scoprono nuove e pericolose debolezze all'interno dei software più noti, come antivirus, browser web, sistemi operativi e applicazioni per l'ufficio.

C'è poi il mercato clandestino , dove un nuovo exploit per Windows Vista può essere pagato – come testimoniato di recente da Trend Micro – fino a 50.000 dollari. Chi è disposto a pagare simili cifre difficilmente ha buoni intenti : una breccia nella sicurezza di software molto diffusi, come Windows, IE o Apache, può allettare molte tipologie di criminali, dai semplici truffatori ai terroristi.

Come ci si può immaginare, Microsoft è tutt'altro che entusiasta del nascere di un mercato delle vulnerabilità, anche quando questo è alimentato da iniziative legittime, come quella di iDefense. Secondo un portavoce del colosso di Redmond, infatti, fornire denaro in cambio di dettagli su una vulnerabilità “non è il modo migliore per aiutarci a proteggere i nostri clienti”.

Link copiato negli appunti

Ti potrebbe interessare

11 01 2007
Link copiato negli appunti