Alcuni dei produttori fanno ancora affidamento alla communuty per quanto riguarda la segnaalzione dei bug di sicurezza presenti (anche quelli che potenzialmente possono essere tra i più rischiosi), demandando la sicurezza delle loro applicazioni alla buona volontà di chi ha tempo, voglia e conoscenza a sufficienza per ravanare nei meandri del loro prodotto (senza cattivi fini)...
Per questo da qualche tempo è sorto No More Free Bugs, un moimento d'opinione nell'ambito della information security volto a sensibilizzare e spingere i produttori di software a "pagare" i ricercatori di sicurezza per i bug trovati.
Gli argomenti principali sostenuti dal movimento sono i seguenti:
- Le vulnerabilità mettono gli utenti dell'applicazione a rischo: malware e worm che circolano su internet e che sfruttano le vulnerabilità possono mettere a rischio i dati sensibili degli utenti (che in molti casi sono anche clienti dell'azienda produttrice), i quali si potrebbero rivalere in seconda istanza su chi ha fornito loro il software bacato.
- Riportare una vulnerabilità può essere rischioso dal punto di vista legale: nel momento in cui un ricercatore divulga la vulnerabilità al produttore potrebbe non esserci nessun meccanismo di protezione legale ed il ricercatore di sicurezza potrebbe essere tirato in ballo in un procedimento legale e trovarsi impossibilitato nel difendersi. Ci si aspetta sempre una condotta di disclosure responsabile dai ricercatori, ma non c'è nessun meccanismo che incentivi questa presa di responsabilità.
- È iniquo nei confronti degli utenti finali: l'analsi di un software per rilevare falle di sicurezza è un'attività che richiede professionalità e specializzazione. I produttori di sofware che esternalizzano questa attività alla comunità dei ricercatori senza porre un adeguato incentivo in pratica fanno ben poco per proteggere i loro clienti.
Per questi motivi, fintanto che queste condizioni non saranno soddisfatte, il reporting di vulerabilità di sicurezza resterà una mera azione di volontariato (oltretutto anche rischioso dal punto di vista legale), inoltre è importante che esista un'alternativa legale per monetizzare la proprie skills in sicurezza, altrimenti la tentazione del lato oscuro potrebbe averla vinta... Se questo approccio divenisse prassi nell'indistria del bug hunting si creerebbe lo spazio per l'emergere di un mercato equo dei risultati delle analisi di sicurezza, aiutando al riconoscimento della figura del ricercatore di sicurezza come una professione più diffusa e più legalmente apprezzata.
Qualcuno ha già reputato opportuno adeguarsi a questi principi: a questo indirizzo trovate elenco delle aziende che offrono una ricompensa (pecuniaria o meno) per ogni vulnerabilità segnalata. Se siete in grado di cimentarvi...