Qualsiasi software ha dei difetti. Cosa succede quando se ne trova uno? Un bug può essere corretto o venduto. Trovare vulnerabilità richiede competenze di alto livello: sono errori dei quali i creatori del software non si sono accorti.

Un vero zero-day deve essere abbastanza grave da creare un problema di sicurezza ancora ignoto. Una volta scovato, con spirito altruistico potete informare la società di software dell’esistenza del problema. Ma ci sono altre opzioni. Come contattare un bug broker, un intermediario che gestisca la cosa per conto vostro, senza troppe complicazioni.

L'obiettivo è monetizzare la vostra scoperta. Svelare gravi vulnerabilità in sistemi operativi e applicazioni può valere somme a cinque o sei cifre. Molte aziende pagheranno in contanti per i bug nei loro prodotti.

Anche le agenzie di intelligence acquistano segretamente "falle" per impiegarle in attività di spionaggio. Altre volte sono i criminali a comprare bug sul mercato nero, usandoli per rubare segreti commerciali o informazioni personali

Internet

La cyberguerra è già on line: hacker e governi a caccia di bug

Lev Grossman

25/7/2014

Ma quanto vale un bug?

100.000 dollari - E' la massima ricompensa in contanti che Microsoft offre agli hacker capaci di scoprire metodi efficaci per infiltrarsi nei sistemi di sicurezza di Windows.

1,5 milioni di dollari - E’ la ricompensa che Mozilla, sviluppatore del browser Firefox, ha pagato agli hacker a partire dal 2004.

2204 dollari - E’ la ricompensa media pagata da Facebook nel 2013. Ma la società ha versato 33.500 dollari a un hacker brasiliano per la scoperta di un bug particolarmente dannoso, mentre alcuni hacker russi hanno ottenuto una taglia di 3.961 dollari.

3,3 milioni di dollari - E’ la somma complessiva pagata da Google agli hacker a partire dal 2010. Ricompense ordinarie vanno dai 100 ai 20.000 dollari. Ma un bug di grandi dimensioni è stato pagato 150.000 dollari.

Quando gli hacker riescono a scoprire una nuova vulnerabilità, i risultati possono essere devastante. Ecco i casi più famosi.

Stati Uniti e Israele hanno cominciato a boicottare il programma nucleare iraniano nel 2009, quando era ancora ai suoi albori, sfruttando le vulnerabilità zero-day per infettare le macchine che installavano Windows. La diffusione del virus ha finito con l’infettare computer in tutto il mondo.

Un gruppo con sede in Cina ha sfruttato le vulnerabilità di Internet Explorer per lanciare attacchi contro Google, Adobe e decine di altre grandi aziende statunitensi, spiare gli attivisti di organizzazione per la difesa dei diritti umani e rubare proprietà intellettuali.

Un hacker russo avrebbe creato il famoso software kit chiamato Blackhole, un pacchetto venduto sul mercato nero e utilizzato per una vasta gamma di attacchi ai personal computers.

Un dipendente ha aperto un file di Microsoft Excel bacato, e gli hacker hanno rubato preziose informazioni sul codice SecurID di RSA - uno strumento di sicurezza usato da molte imprese fra le quali Lockheed Martin e Bank of America.

Un exploit Java ha permesso agli hackers di installare sofisticati malware sui computer portatili dei dipendenti di Facebook, ma l’azienda è riuscita a isolare i sistemi informatici infettati e a salvare i dati dei propri utenti.

[[ge:espresso:visioni:tecnologia:1.174359:image:https://espresso.repubblica.it/polopoly_fs/1.174359.1406201901!/httpImage/image.jpg_gen/derivatives/articolo_480/image.jpg]] TIME e il logo di TIME sono marchi registrati da Time, Inc. utilizzati su licenza. © 2012. Time, Inc. Tutti i diritti riservati. Tradotto da TIME Magazine e pubblicato con il permesso di Time, Inc. È proibita la riproduzione, anche parziale, in ogni forma o mezzo, senza espresso permesso scritto