Volete diventare ricchi sfondati? Datevi alla caccia al bug. Parlo, ovviamente, di vulnerabilità dei software più diffusi. Punti deboli scatenati da errori di programmazione che possono essere sfruttati da malintenzionati (e non solo) per far eseguire a quei software istruzioni per cui non sono progettati. Per esempio, spiare WhatsApp.
È il cosìddetto mercato delle vulnerabilità “zero day”, vale a dire bug che nessuno ha mai scoperto e per le quali, dunque, nemmeno i produttori dei software hanno ancora trovato rimedio. Avere per le mani una vulnerabilità di questo tipo è come possedere un passe-partout con cui poter entrare liberamente in tutte le case che montano un determinato modello di serratura. Il mercato è così florido che qualcuno ha ben pensato di costruirci attorno delle aziende dedicate. Tra queste c’è la nota Zerodium, una startup che compra e vende exploit, cioè tecniche con le quali sfruttare di queste vulnerabilità per fini non ben precisati (dipende da chi le compra).
Zerodium ha sempre pagato piuttosto bene i suoi collaboratori, arrivando anche a cifre dell’ordine del mezzo milione di dollari per gli exploit più efficaci, ma di recente, con un annuncio che ha destato molto successo tra i ricercatori di sicurezza, ha deciso di alzare la posta in gioco. Ha infatti deciso di arrivare alla bellezza di un milione di dollari di premio per i ricercatori di sicurezza che propongono exploit, in particolare, per i sistemi di messaggistica, in particolare WhatsApp, iMessage e SMS e MMS. Tutti ricchi in breve tempo, dunque? Non proprio, perché rilevare vulnerabilità per questi sistemi non è un giochetto da ragazzi.
Il problema è che si tratta di tecnologie ben protette. WhatsApp, per esempio, offre la crittografia “end to end”, che consiste nel codificare in modo i messaggi da quando lasciano il dispositivo a quando arrivano a quello, e solo a quello, del legittimo destinatario. Scardinare questo meccanismo è molto complesso e gli esiti non sono certi. E poi c’è il problema delle app per mobile. Per far sì che buona parte degli exploit funzionino, è necessario che lo smartphone della vittima sia in grado di eseguire dei software non certificati dal produttore del telefono. È necessario, cioè, che per un iPhone sia stato effettuato il così detto “jailbreak” e per uno Android il “rooting”, procedure che rendono molto più insicuri i dispositivi. Dunque, exploit capaci di attivarsi nel telefono della vittima senza bisogno di procedure come questa sono i più apprezzati, e meglio pagati, da Zerodium.
Addirittura, nel caso in cui si riesca a proporre un exploit per effettuare il “jailbreak” o il “rooting” su un dispositivo da remoto, senza quindi aver bisogno di accedere fisicamente al dispositivo, si arriva a essere pagati un paio di milioni di dollari. Ma si vocifera che un exploit per Telegram, considerato uno dei sistemi di messaggistica più sicuri al mondo, possa venire pagato fino a quattro milioni di dollari. Non resta che mettersi a studiare, e poi sotto con l’analisi.
