Bug di Vista: 8.000$. Dead or alive

0
601

I moderni cacciatori di taglie non cercano più teste, ma bug. A chi scopre un nuovo e pericoloso bug di Windows Vista o Internet Explorer 7, infatti, la nota società di sicurezza VeriSign è pronta a dare una ricompensa in denaro che può raggiungere i 12mila dollari.

Attraverso la neo acquisita iDefense Labs, VeriSign ha infatti indetto una competizione che assegnerà 8.000 dollari alle prime sei persone che scoveranno, in Vista o IE7, una vulnerabilità di sicurezza inedita e sfruttabile da remoto per eseguire del codice. Se la descrizione della falla verrà corredata anche dal codice di un exploit, iDefense pagherà all'autore una cifra extra compresa fra i 2mila e i 4mila dollari.

Come ricorda eWeek.com, iDefense non è l'unica società del settore a pagare i bug. La divisione TippingPoint di 3Com, ad esempio, ha avviato la Zero Day Initiative per ricompensare quei ricercatori indipendenti che scoprono nuove e pericolose debolezze all'interno dei software più noti, come antivirus, browser web, sistemi operativi e applicazioni per l'ufficio.

C'è poi il mercato clandestino, dove un nuovo exploit per Windows Vista può essere pagato – come testimoniato di recente da Trend Micro – fino a 50.000 dollari. Chi è disposto a pagare simili cifre difficilmente ha buoni intenti: una breccia nella sicurezza di software molto diffusi, come Windows, IE o Apache, può allettare molte tipologie di criminali, dai semplici truffatori ai terroristi.

Come ci si può immaginare, Microsoft è tutt'altro che entusiasta del nascere di un mercato delle vulnerabilità, anche quando questo è alimentato da iniziative legittime, come quella di iDefense. Secondo un portavoce del colosso di Redmond, infatti, fornire denaro in cambio di dettagli su una vulnerabilità "non è il modo migliore per aiutarci a proteggere i nostri clienti".

 

Articolo tratto: Punto Informatico