![[SM=x173120]](http://www.wolfotakar.com/immforum/smile2.gif)
I moderni cacciatori di taglie non cercano più teste, ma bug. A chi scopre un nuovo e pericoloso bug di Windows Vista o Internet Explorer 7, infatti, la nota società di sicurezza VeriSign è pronta a dare una ricompensa in denaro che può raggiungere i 12mila dollari.
Attraverso la neo acquisita iDefense Labs, VeriSign ha infatti indetto una competizione che assegnerà 8.000 dollari alle prime sei persone che scoveranno, in Vista o IE7, una vulnerabilità di sicurezza inedita e sfruttabile da remoto per eseguire del codice. Se la descrizione della falla verrà corredata anche dal codice di un exploit, iDefense pagherà all'autore una cifra extra compresa fra i 2mila e i 4mila dollari.
Come ricorda eWeek.com, iDefense non è l'unica società del settore a pagare i bug. La divisione TippingPoint di 3Com, ad esempio, ha avviato la Zero Day Initiative per ricompensare quei ricercatori indipendenti che scoprono nuovi e pericolosi bug all'interno dei software più noti, come antivirus, browser web, sistemi operativi e applicazioni per l'ufficio.
C'è poi il mercato clandestino, dove un nuovo exploit per Windows Vista può essere pagato - come testimoniato di recente da Trend Micro - fino a 50.000 dollari. Chi è disposto a pagare simili cifre difficilmente ha buoni intenti: una breccia nella sicurezza di software molto diffusi, come Windows, IE o Apache, può allettare molte tipologie criminali, dai semplici truffatori ai terroristi.
Come ci si può immaginare, Microsoft è tutt'altro che entusiasta del nascere di un mercato delle vulnerabilità, anche quando questo è alimentato da iniziative legittime, come quella di iDefense. Secondo un portavoce del colosso di Redmond, infatti, fornire denaro in cambio di dettagli su una vulnerabilità "non è il modo migliore per aiutarci a proteggere i nostri clienti".
Fonte:
punto-informatico.it/p.aspx?id=1844813&r=PI