domenica, marzo 08, 2009

Indizi di un'econosistema nella sicurezza informatica

TippingPoint è una nota società che produce sistemi di protezione per le informazioni, in particolare è leader di mercato per la tecnologia IPS (Intrusion Prevention Systems).
Dal 2005 questà società conduce una campagna chiamata Zero-Day Initiative, che consiste nel retribuire quei ricercatori nel campo della sicurezza informatica che dovessero venire a conoscenza di vulnerabilità informatiche non ancora divulgate.
Lo scopo è dichiaratamente duplice: fornire tempestivamente ai clienti gli aggiornamenti dei propri sistemi, ricavandone un vantaggio competitivo, e informare i produttori dei software che presentano tali vulnerabilità in modo che possano provvedere ad una patch. L'iniziativa retribuisce i ricercatori volontari con premi di qualche migliaio di dollari (anche diecimila) vincolandoli al silenzio: l'accordo siglato prevede l'esclusività dell'informazione.
E' curioso come una società che ha il suo core-business nella sicurezza informatica adotti una politica che, nei fatti, sovvenziona l'attività di chi si dedica alla scoperta delle vulnerabilità ed allo sviluppo dei relativi exploit. Inevitabilmente questo tipo di politica finisce con lo stringere un'alleanza coi nemici. Ma è una politica di successo, che nasce dall'esplorazione di opportunità economiche inedite, che vengono co-costruite da chi lotta per la prevenzione degli incidenti di sicurezza informatiche e - in qualche misura - chi quegli incidenti contribuisce a rendere possibili.
E' una spirale che ricorda la formazione di certe nicchie negli ecosistemi in natura: mi colpisce il confronto con l'organismo animale che, ad un certo momento della sua evoluzione, cessa di lottare contro i batteri nocivi e ne addomestica alcuni da cui trae benefici, e così facendo crea i presupposti per un nuovo tipo di organismo complesso in cui anche i batteri sfruttano una nicchia ecologica precedentemente inesistente.

Nessun commento: