Vulnerabilità zero-day vendesi

ReVuln, start-up di sicurezza con sede a Malta, ha scelto di seguire la strada della francese Vupen, ovvero vendere le vulnerabilità zero-day alle aziende e ai governi invece di condividerle gratuitamente con produttori hardware e sviluppatori software. ReVuln, fondata dagli italiani Luigi Auriemma e Donato Ferrante, si occupa in particolare dei sistemi SCADA (Spervisory Control and Data Acquisition) utilizzati per il controllo dei processi industriali. In un video pubblicato su Vimeo, l’azienda mostra nove vulnerabilità individuate nei software di General Electric, Schneider Electric, Kaskad, Rockwell Automation, Eaton e Siemens.

I software SCADA vengono eseguiti su normali computer, ma sono utilizzati in ambito industriale per monitorare processi critici. Le falle zero-day scoperte da ReVuln consentono di eseguire codice remoto, effettuare il download di file, inviare comandi arbitrari e aprire shell remote sui sistemi vulnerabili. Un malintenzionato può prendere il controllo della macchina con privilegi di amministratore, installare rootkit o altri tipi di malware, ottenere dati sensibili e provocare danni all’intera infrastruttura.

L’attacco contro i sistemi SCADA può essere effettuato anche via Internet. Molti prodotti, infatti, possono essere gestiti da remoto, ma a causa di bug o errori di configurazione, un hacker può facilmente introdursi nei computer sui quali viene eseguito il software. ReVuln non rilascerà nessuna informazione sulle vulnerabilità, ma i dettagli verranno inclusi nello Zero-day feed, una sorta di bollettino di sicurezza accessibile solo dietro il pagamento di un abbonamento. L’azienda divulgherà le informazioni solo se i bug verranno scoperti e pubblicati da altri ricercatori, o se il produttore rilascerà una patch.

Quello di ReVuln (e di altre aziende simili) è un modello di business abbastanza controverso e criticato dall’industria IT, in quanto le vulnerabilità non risolte potrebbero essere sfruttate per propositi offensivi. Vendere le informazioni al miglior offerente è considerato eticamente sbagliato, ma non è certo illegale. Potrebbero però esserci gravi conseguenze per la sicurezza nazionale se questi bug riguardassero infrastrutture critiche. ReVuln, come la francese Vupen, dichiara di seguire un codice di auto-regolamentazione nella scelta dei propri clienti in base alla loro reputazione, dando così spiegazioni precise alle osservazioni sollevate in merito ad etica e business.