Gli Stati Uniti acquistano vulnerabilità zero-day

Un membro della EFF (Electronic Frontier Foundation) ha scoperto un interessante annuncio su FedBizOpps, il portale utilizzato dalle agenzie governative per pubblicizzare opportunità di lavoro riservate alle aziende. La US Navy cerca un fornitore qualificato in grado di scoprire vulnerabilità zero-day nei software. Il Governo degli Stati Uniti vuole quindi acquistarle per sviluppare exploit, ovvero codice in grado di sfruttare questi bug.

La Marina militare statunitense ha pubblicato anche un breve elenco di applicazioni, sistemi operativi e software house: Microsoft, Apple, IBM, Adobe, Cisco IOS, Linksys WRT, Java, Android e Linux. È noto da tempo che esiste un mercato, più o meno legale, di vulnerabilità. Ricercatori e cybercriminali vendono e acquistano exploit al miglior offerente. Solitamente, i primi vendono le loro scoperte alle stesse aziende che sviluppano le applicazioni. In questo caso, però, l’acquirente è il Governo degli Stati Uniti.

L’annuncio, ora rimosso dal sito, spiega chiaramente che il fornitore dovrà consegnare una lista di vulnerabilità, non più vecchia di sei mesi, che verrà aggiornata su base trimestrale. Il fornitore si occuperà anche dello sviluppo di exploit, sotto la direzione del Governo, che manterrà l’uso esclusivo del codice.

Nell’annuncio viene specificato che le vulnerabilità verranno utilizzate per emulare gli attacchi informatici, ma la EFF ritiene che possano essere sfruttate per compiere “azioni offensive“. Non avrebbe senso, infatti, spendere milioni di dollari solo per rivelare le vulnerabilità alle software house. In pratica, difficilmente il Governo degli Stati Uniti collaborerà allo sviluppo delle patch.