L'annuncio è purtroppo scomparso, ma sul sito di FedBizOps è apparso qualche giorno fa un annuncio quantomeno curioso.
Secondo Threatpost, la Marina Militare statunitense aveva messo un annuncio in cui cercava un'azienda in grado di fornire sistemi per violare le piattaforme e i framework più comuni.
La richiesta scendeva abbastanza nei dettagli, specificando che le vulnerabilità segnalate, da tradursi in strumenti di attacco facilmente utilizzabili, dovevano riguardare software Microsoft, Oracle, Adobe, EMC, Novell, IBM, Apple, Cisco, iOS, Linksys WRT, Linux, Java e così via.
Specificatamente, "L'azienda dovrà fornire al Governo una lista di vulnerabilità disponibili zero day o N-day, con N comunque inferiore a sei mesi. La lista andrò aggiornata trimestralmente e includere informazioni e exploit efficaci sui software più comuni".
A parte che non si capisce bene l'utilità di una lista di vulnerabilità zero day aggiornata trimestralmente, un ricercatore dell'univerà della California, Nicholas Weaver, ha commentato l'annuncio dichiarando che, con tutta probabilità, questo bando è da intendersi per autodifesa piuttosto che per la necessità di creare una nuova divisione di cyber-attacco.
"Non è una cosa inusuale cercare aziende in grado di testare le difese delle proprie reti" - ha aggiunto Weaver - "e questo sembra proprio uno di quei casi".
In effetti, a cosa dovessero servire quelle vulnerabilità e quegli exploit non era specificato, ma una volta che si crea un database di vulnerabilità e strumenti di attacco, quante sono le possibilità che non si resista alla tentazione di usarle in maniera attiva oltre che passiva?
Negli USA, comunque, è sempre molto attiva la polemica relativa al governo che compra (o scopre) vulnerabilità perché è sempre stato chiaro che queste non verranno divulgate alle aziende interessate, lasciando esposti milioni di utenti e aziende al rischio di azioni cybercriminali, nonostante qualcuno nel governo sia già in grado di eliminare la minaccia.
La sicurezza nazionale, però, per le agenzie governative viene prima di tutto, anche della sicurezza delle aziende e delle persone che compongono la nazione...