R: [ml] zeroday initiative e company ?

> >-----Messaggio originale-----
> >Da: ml-bounces@xxxxxxxxxxxxx 
> >[mailto:ml-bounces@xxxxxxxxxxxxx] Per conto di Daniele Calore
> >Inviato: giovedì 22 marzo 2007 11.39
> >A: ml@xxxxxxxxxxxxx
> >Oggetto: [ml] zeroday initiative e company ?
> >
> >Personalmente credo che bisognerebbe valutare ogni singolo caso.

> >Ad esempio: Il ricercatore XYZ trova una vulnerabilita' in 
> >un prodotto commerciale ClosedSource. Dopo i primi momenti 
> >di grande soddisfazione per essere riuscito a trovare il bug 
> >si pone la seguente domanda:
> >"Perche' rilasciare gratis il lavoro svolto, visto che 
> >l'azienda che lo produce ha dei lauti guadagni?".
> >

In realta' ne ha un guadagno in visibilita' (non facilmente quantificabile in termini monetari) derivante dalla paternita' del bug trovato.
Le societa' come quella che hai citato, acquistando dai "ricercatori" gli 0day, non fanno altro che acquisire questa visibilita', per potersi vendere meglio sul mercato come societa' di consulenza citando nei fliers " TOT bug riscontrati in X anni".
Bisogna poi vedere quanto ti pagano, oltre che verificare se e' tutto in regola da un punto di vista legale.
Se la tua esperienza lavorativa ti porta ad esempio alle condizioni per l'ottenimento di un brevetto, i benefici economici dello stesso vanno alla tua azienda e non all'inventore.
In questo caso, se i tuoi superiori ti affidano come attivita' lavorativa l'analisi di un prodotto XYZ, e in questa fase scopri lo 0day, presumo che ci possano essere gli stessi vincoli dell'esempio brevetto che ho citato prima.
Poi, dipende dalla correttezza del singolo prendere in seria considerazione o fregarsene totalmente di questi aspetti.


> >Voi cosa fareste?

Alcuni bug (quasi mai gravi) trovati nel corso degli su prodotti commerciali in fase di evaluation/testing del prodotto (in corso di sviluppo) sono stati segnalati al vendor, all'interno di progetti che vedevano una stretta collaborazioni tra le parti. Forse non e' proprio il caso a cui ti riferivi tu.

In altri ambiti (attivita' extra lavorative) posso solo dirti che segnalare direttamente la vulnerabilita' al webmaster non ti porta vantaggi ma solo scocciature.
Senza far nomi (anche se se lo meriterebbero), un grossa catena di prodotti che vende anche online aveva implementato "ad cazzum" il sistema di backend per la gestione degli ordini online, che mi aveva permesso di acquistare per un valore simbolico di 1 euro alcuni beni, e farmeli persino consegnare a casa nelle 24ore successive da un corriere (non ero stato ingordo ed il valore effettivo della merce non era certo di migliaia di euro).
Verificata la cosa, ho seguito la procedura classica per la segnalazione di questo tipo di bug, mettendomi in contatto con i responsabili del sito.
Per farla breve, ho perso tempo, ho ovviamente pagato poi il bene (su esplicita richiesta dei responsabili della societa' in oggetto), senza ricevere NULLA (ne' in termini monetari tantomeno di visibilita'/paternita') in cambio. Mi sono alquanto stupito della cosa, per la controparte anche solo omaggiarmi del bene acquistato poteva essere un gesto sufficiente di ringraziamento. 
Avrei potuto fregarmene, e magari sfruttare ancora per un po' la vulnerabilita' 0day : da allora ho capito che l'onesta' non sempre paga, e casi simili li ho trattati in maniera diversa.
Ma rimangono scelte personali, come hai detto tu, da analizzare caso per caso.

Saluti
RR
--------------------------------------------------------------------

CONFIDENTIALITY NOTICE

This message and its attachments are addressed solely to the persons above and may contain confidential information. If you have received the message in error, be informed that any use of the content hereof is prohibited. Please return it immediately to the sender and delete the message. Should you have any questions, please contact us by replying to webmaster@xxxxxxxxxxxxxxxxx

        Thank you

                                        www.telecomitalia.it

--------------------------------------------------------------------