Al profano, "Zero Day" non dirà niente. Il titolo di un film, oppure quello di un romanzo di spionaggio, tutt'al più. Ma l'espressione è ben conosciuta dagli esperti di sicurezza informatica, e provoca loro flussi di adrenalina o sudori freddi. Uno Zero Day designa una falla lasciata aperta, un difetto di cui ancora non si riesce a venire a capo, in un software. Stuxnet, il virus fabbricato da Stati Uniti ed Israele al fine di sabotare il programma nucleare iraniano, si appoggia su almeno quattro difetti di questo genere.
Il Washington Post si è addentrato nell'universo felpato e misconosciuto del mercato di queste falle, fra acquirenti pubblici e privati, da una parte, e venditori di ogni provenienza, dall'altra. "Tutti ci vorrebbero entrare" - ha dichiarato Chris Soghoian, un esperto in sicurezza informatica di Washington. Ma questo fruttuoso mercato rimane segreto. Chi è che compra? E chi vende? La maggior parte delle imprese affermano che le vendite dei difetti avvengono solo da parte delle agenzie di intelligence, oppure da qualche sub-appaltatore dell'esercito, a 60mila dollari a difetto.
Una compagnia francese, Vupen, è riuscita a farsi una reputazione in questo sottosuolo. Nel gennaio del 2012, un team di 5 esperti, fra i quali il cofondatore della società, Chaouki Bekrar, ha scoperto una delle falle di Google Chrome. La ricompensa per la scoperta: 60mila dollari. Un'altra scoperta non è stata resa pubblica da Vupen, che ha preferito salvaguardare il proprio cliente. Fuori dall'ufficialità, le cifre danno le vertigini, "perfino centinaia di migliaia di dollari a falla", secondo il quotidiano americano.
Vupen, criticato da più parti, si è difeso, dichiarando al Washington Post di vendere solo alle agenzie di intelligence dei paesi membri della NATO. Altre aziende si dicono più scrupolose, come la Netragard, americana, che afferma di vendere solo ai suoi alter-ego americani, e solamente se a conoscenza dell'utilizzo finale. Charlie Miller, consulente nel settore privato dopo una carriera nella Agenzia per la Sicurezza Nazionale, pone la domanda impossibile agli scopritori degli Zero Day:
"Devo fare ciò che è meglio per la maggior parte delle persone e non prendere una lira, o devo vendere al governo degli Stati Uniti e guadagnare 50mila dollari?"
La Germania ha stabilito, fermamente,che il commercio degli Zero Day è vietato, così come la loro pubblicazione senza fini di lucro e persino il solo fatto di cercarli. Per quanto riguarda gli Stati Uniti toccherà al dipartimento del Commercio decidere, soprattutto per quanto riguarda l'esportazione.
fonte: owni.fr/author/pierrealonso/