Leggo con preoccupazione la notizia della nascita di un portale per la compravendita di vulnerabilità. Vi caldamente invito a leggere la press release relativa alla nascita di questo portale. Si tratta di un portale per la vendita di vulnerabilità al migliore offerente. Intorno a questo concetto è stato costruito un castello sulla “ricerca” e la “giusta remunerazione” veramente allucinante, purtroppo ripreso da più parti, che serve solo per offuscare l’idea di fondo di questo sito, ovvero quella del ricatto legittimato dal mercato: o “compri” la vulnerabilità che ho trovato, o la vendo a qualcun’altro.
Prima di tutto, il sito non serve a vendere “ricerca di sicurezza”: serve a vendere vulnerabilità. La caccia alle vulnerabilità nei prodotti non è ricerca, non più di quanto lo sia la ricerca di funghi. Può essere ricerca la scoperta di nuove metodologie di attacco: la scoperta del cross site scripting, ad esempio, è ricerca, almeno in un senso molto ampio del termine. Leggere il codice di un programma cercando errori non lo è. Può essere un’attività, anche un lavoro, e capisco il desiderio di essere pagati per farlo. Tuttavia, non trovo in alcun modo corretto, nè legittimo, fare un lavoro non richiesto e poi pretendere di essere pagati. Potrei paragonarlo al lavavetri che ti lava il vetro anche quando gli dici di no, e vuole ciononostante essere pagato, ma farei un torto ai lavavetri, perché almeno loro sono in parte giustificati da una situazione di indigenza. Il cacciatore di vulnerabilità ha invece di solito la pretesa di essere anche un buon informatico, e quindi dovrebbe essere in grado di trovarsi un lavoro altrimenti. Al potenziale utente del portale invece piace quel tipo di attività, gli spiace che nessuno la paghi, e vuole trovare un modo per farsi pagare ciononostante. La press release arriva addirittura a questa affermazione: “Our intention is that the marketplace facility on WSLabi will enable security researchers to get a fair price for their findings and ensure that they will no longer be forced to give them away for free or sell them to cyber-criminals.”. Capito? Il povero “ricercatore” è costretto a vendere le vulnerabilità ai criminali…
Ma veniamo al concetto di asta, che è alla base del portale. Io non ho dubbi: se ci deve essere un compratore per una vulnerabilità, quello deve essere lo sviluppatore. Esiste un’altra alternativa, che è la full disclosure, che ha uno scopo preciso, ovvero forzare lo sviluppatore ad affrontare i problemi. Se lo sviluppatore gestisce bene le segnalazioni, non c’è neppure bisogno della full disclosure. Ma un’asta mette in competizione lo sviluppatore con il criminale. Il valore di una vulnerabilità di Windows per un delinquente a caccia di siti può decidere di pagare un prezzo alto per una vulnerabilità. Quello che dice il nostro bel portale è che è giusto che il prezzo sia fissato dalla criminalità.
Naturalmente, il motivo per cui un simile portale può anche solo proporsi è che ormai qualsiasi qualsiasi cosa che profumi anche solo lontanamente di “mercato” acquisisce una legittimazione immediata, che deve poi essere eventualmente messa in discussione: nessun concetto è al momento intoccabile come quello del libero mercato. Ma per me vendere vulnerabilità su quel portale è la stessa attività di una persona che, non richiesta, ne segue un’altra per scoprire se ha un amante, proponendogli di comprare l’informazione altrimenti la venderà al coniuge. Dalle mie parti si chiama ricatto.