È questo alto valore per i criminali che mi colpisce davvero in tutta questa faccenda dei falsi ricercatori sulla sicurezza, perché questi i ricercatori autoproclamati nel campo della sicurezza non seguono alcun codice etico professionale, a differenza di quelli veri che sono sempre consapevoli delle conseguenze le loro azioni.
Le conseguenze dello sgancio di una bomba zero-day su Internet sono semplici e immediate: i malintenzionati iniziano a sfruttare questa vulnerabilità nel giro di poche ore, poiché il primo a colpire è quello che più probabilmente raccoglierà i frutti più grandi in termini di risorse compromesse o dati rubati.
Le conseguenze dello sgancio di una bomba zero-day su Internet sono semplici e immediate
Non così immediatamente, ma spesso nel giro di pochi giorni, vari strumenti di attacco diventano subito disponibili gratuitamente (ce n’è poco onore tra i ladri informatici e piratano i kit di attacco degli altri) e verrà aggiornato per incorporare le ultime novità zero-day sfrutta.
Tutto ciò significa che i clienti innocenti sono messi a rischio, mentre l’altra vittima di tutto questo – il venditore di cui il codice è stato compromesso: è costretto a restare indietro mentre cerca disperatamente di riparare il buco e distribuire il toppa.
Se la sicurezza fosse davvero la motivazione per la ricerca che ha scoperto lo zero-day, sicuramente sarebbe comune Il buon senso imporrebbe di fare di tutto per aiutare il venditore a mettere le cose a posto, senza mettere in discussione utenti innocenti rischio?
Posso immaginare la furia ipocrita che verrà lanciata nella mia direzione da alcuni di questi “ricercatori di sicurezza” che leggono questo, che sosterrà che ogni volta che consegni tali informazioni ai venditori, a volte si siedono e non fanno nulla per settimane mesi.
Questa mentalità, spesso messa in luce dalla gioia con cui detta gente distribuisce i dettagli degli exploit che hanno un impatto I prodotti e i servizi Microsoft sembrano essere uno dei fornitori più cattivi, un ricercatore in materia di sicurezza supereroe.
Ma questa visione del mondo è semplicemente semplicistica. Con alcune tristi e notevoli eccezioni nel corso degli anni, la maggior parte dei fornitori prende estremamente sul serio la notifica degli zero-day. Lungi dal fare nulla, tutti, tranne quelli più ritentivi, entreranno in azione e svilupperanno patch per risolvere il problema. Con le giuste informazioni, questo può richiedere davvero poco tempo.
Tempi di prova
Sfortunatamente, lo stesso non si può dire del processo di test, ed è qui che risiede il vero problema dell’ignoranza e della colpa fuori luogo. Più grande è il venditore, più è probabile che venga percepito come se ignorasse i ricercatori informatori e le informazioni da loro fornite, e quindi più malvagio deve essere.
Sono stato colpevole di essere arrivato a tali conclusioni, ma la verità è che più grande è il venditore, più utenti ha, e più a lungo sarà necessario testare la soluzione e garantire che non interrompa la funzionalità del prodotto su tutti i milioni di sistemi su cui è installato installato.
Questo non dovrebbe essere un problema per un ricercatore di sicurezza veramente professionista, perché i dettagli di quello zero-day non dovrebbero esserlo noti a chiunque altro oltre a loro stessi e al fornitore, poiché la vulnerabilità non è stata irresponsabile e prematura divulgato.
Detto questo, è necessario applicare un certo grado di urgenza quando viene scoperto un giorno zero, perché sarà solo questione di tempo prima che qualche autoproclamato ricercatore di sicurezza lo scoprirà e coglierà avidamente il suo potenziale di guadagno di complimenti da parte del gruppo dei pari, o peggio ancora verrà scoperto da una banda criminale, che sicuramente non lo dirà a nessuno a proposito.
![Come modificare una firma in Outlook [PC o dispositivo mobile]](/f/07d5be5c9a09970ee4a50e5c446656be.png?w=2290&ssl=1?width=100&height=100)
