No, non intendo dire che tutti i ricercatori nel campo della sicurezza debbano essere amanti dell’heavy rock con i capelli lunghi (anche se indosso il mio andando a prendere la felpa con cappuccio degli Slipknot mentre scrivo), e non intendo neanche dire che Ferguson abbia fatto qualcosa per abbassare la mia opinione sulla sicurezza ricercatori.
Ciò che intendo è che la descrizione del lavoro è stata seriamente svalutata negli ultimi anni.
In passato i ricercatori sulla sicurezza erano quelle persone, sia nelle università che nei laboratori dei fornitori di sicurezza, che vivevano all’avanguardia della sicurezza IT. Era il ricercatore sulla sicurezza che avrebbe scoperto i bug, le vulnerabilità e gli exploit, ed era il ricercatore sulla sicurezza che trasmetterebbe responsabilmente tali informazioni in modo che i bug vengano eliminati, le vulnerabilità risolte e gli exploit fermato.
La descrizione del lavoro è stata seriamente svalutata negli ultimi anni
Nel corso degli anni ho incontrato più veri ricercatori di sicurezza di quanti possa ricordare, sia alle loro scrivanie nei laboratori di ricerca che presso gli uffici dei fornitori di sicurezza (e sì, spesso si trovano nel seminterrato, davanti a grandi schermi che mostrano le epidemie di minacce in tempo reale e i dati di tendenza) e presso vari punti di sicurezza conferenze. In tutta onestà, non ho mai incontrato un ricercatore di sicurezza con cui non ho qualcosa in comune e di cui rispetto l’opinione.
Ecco perché mi trovo rattristato e sempre più arrabbiato per il modo in cui il termine “ricercatore di sicurezza” ha sempre più arrivano a significare qualcosa di molto diverso, e spesso viene semplicemente sbandierato da hacker e cracker per dare un'aria di legittimità a ciò che loro fanno.
Come ottenere follower su Twitter
Prendiamo, ad esempio, il recente caso di una vulnerabilità zero-day di Adobe Shockwave Player che è stata scoperta da uno di questi "ricercatore di sicurezza" apparentemente per il solo motivo di festeggiare il raggiungimento di mille follower Twitter.
So di insistere su questo argomento, ma questo è quanto di più lontano si possa ottenere da una divulgazione responsabile (se si scontano le vendite zero-day sul lato oscuro del web, ovviamente).
Certamente chiunque abbia il termine “ricercatore in materia di sicurezza” come distintivo d’onore professionale non farebbe quello che ha fatto questo tizio (io non gli darà ulteriore pubblicità nominandolo qui) semplicemente pubblicando un collegamento a una nuova vulnerabilità zero-day su Twitter.
Intendiamoci, né avrebbero un sito web che si vanta di pubblicare un mese di zero-day che può essere utilizzato "per possedere siti web" e "client senza patch", con "scrivere applicazioni più sicure" in coda elenco.
Uscita pubblica
Non sono contrario all’esposizione pubblica dei problemi per forzare un cambiamento in meglio, e in effetti ci sono momenti in cui non c’è davvero altra opzione. Tuttavia, essere responsabili di tale divulgazione è di fondamentale importanza, e ciò significa garantirlo l'azienda o il servizio interessato è stato informato del problema e gli è stata data la possibilità di risolverlo Primo.
La divulgazione zero-day non aiuta nessuno e in realtà viene fatta solo per vendere qualcosa, sia che si tratti della tua reputazione, tra le altre "ricercatori di sicurezza" o i servizi di consulenza e codifica che puoi offrire dietro di esso (o anche i dettagli dello zero-day si).
Queste cose hanno un valore considerevole per le comunità di hacker e criminali informatici e, di conseguenza, possono comportare prezzi elevati. Ecco perché l’utilizzo di ben tre zero-day totalmente inediti all’interno del worm Stuxnet ha immediatamente indicato coinvolgimento del governo: nessuna banda criminale motivata solo dal profitto avrebbe sprecato due giorni zero quando uno avrebbe fatto ciò lavoro.
