Divulgazione totale
La divulgazione totale è la pratica di pubblicare analisi sulle vulnerabilità di un software il prima possibile, permettendo l’accesso a informazioni e dati da parte di chiunque senza nessuna restrizione. Lo scopo principale di questa ampia diffusione di informazioni sulle vulnerabilità è che le potenziali vittime di attacchi informatici siano a conoscenza quanto lo sono i malintenzionati.[1] Nel campo della sicurezza informatica, spesso può accadere che ricercatori scoprano imperfezioni nel software che possono essere sfruttate per causare un comportamento non atteso, queste imperfezioni vengono definite vulnerabilità. Il processo con il quale queste analisi di vulnerabilità vengono condivise con le terze parti è soggetto di un acceso dibattito, e fa riferimento alle policy di divulgazione'dei ricercatori.
Bruce Schneier, in un suo articolo scritto a riguardo di questo argomento, disse “La piena divulgazione, ossia la pratica di rendere pubblici i dettagli sulle vulnerabilità di sicurezza, è un’ottima idea. Le ricerche pubbliche è l’unica via affidabile per migliorare la sicurezza, mentre la segretezza ci rende solo meno sicuri”.[2]
Il dibattito sulla divulgazione delle vulnerabilità
modificaLa polemica attorno alla divulgazione pubblica di informazioni sensibili non è nuova. Infatti, già nel XIX secolo l’argomento della divulgazione totale venne sollevato nell’ambito dei fabbri, nel quale si discusse se una debolezza scoperta in un lucchetto dovesse essere tenuta segreta nella società, oppure rivelata al pubblico.[3] Oggi, le maggiori politiche di divulgazione delle vulnerabilità sono tre e sono categorizzate in:[4] Non Divulgazione, Divulgazione Coordinata e Divulgazione Totale.
La maggior parte delle persone coinvolte nella ricerca delle vulnerabilità hanno le loro politiche formate da varie motivazioni, e non così strano che osservino campagne commerciali, marketing oppure le lobby per adottare la loro politica preferita e rimproverare quelli che divergono da essa. Alcuni esperti in sicurezza informatica favoriscono la piena divulgazione, mentre molti venditori preferiscono la divulgazione coordinata. La non divulgazione, in genere, è favorita dai black hat.
Divulgazione coordinata
modificaI sostenitori della divulgazione coordinata credono che i produttori di software abbiano il diritto di controllare le informazioni sulle vulnerabilità che riguardano i loro prodotti.[5] Il principio cardine di questa politica è che nessuno debba essere informato riguardo alla vulnerabilità fino a quando il produttore stesso non concede il permesso. Anche se ci sono alcune varianti o eccezioni di questa metodologia, inizialmente la distribuzione delle informazioni deve essere limitata e ai produttori gli viene concesso il privilegio di accedere alla ricerca ancora non pubblica. I sostenitori della divulgazione coordinata preferiscono il termine ponderato, ma meno descrittivo, di “Divulgazione responsabile” coniato da Scott Culp, manager della sicurezza in Microsoft, nel suo articolo “It’s Time to End Information Anarchy”[6] (riferendosi alla divulgazione completa). Successivamente, Microsoft chiese di rimuovere il termine in favore di “Divulgazione coordinata”.[7]
Sebbene ci sono diverse ragioni, diversi professionisti del settore discussero che l’utente finale non possa beneficiare dell’accesso alle informazioni sulle vulnerabilità senza istruzioni o patch da parte del produttore del software, poiché i rischi di condividere ricerche con persone malintenzionate è troppo elevato per così pochi benefici. Infatti, Microsoft spiegò “La divulgazione coordinata serve a coloro che hanno forte interesse nel garantire che il cliente riceva aggiornamenti di sicurezza di elevata qualità, ma che non siano esposti ad attacchi dannosi mentre si sta sviluppando la patch”.[8]
Divulgazione totale
modificaLa divulgazione totale è la politica di pubblicare informazioni sulle vulnerabilità il prima possibile e senza omettere dettagli, rendendo l’informazione accessibile al mondo intero senza alcuna restrizione. I sostenitori di questa pratica credono che i benefici della libera disponibilità delle ricerche siano maggiori dei rischi, mentre gli avversari preferiscono la distribuzione limitata.
La disponibilità di informazioni sulle vulnerabilità permette agli utenti e agli amministratori di capire e rispondere alle vulnerabilità che si presentano nei loro sistemi, e inoltre permettono ai clienti di esercitare pressione sui venditori per far sì che riparino le imperfezioni, i quali magari in caso contrario non sentano la necessità di risolverla. Ci sono alcuni problemi fondamentali della divulgazione coordinata che possono essere risolti con la piena divulgazione.
- Se i clienti non conoscono le vulnerabilità, non possono richiedere le patch e i venditori non hanno nessun incentivo economico per correggere la vulnerabilità.
- Gli amministratori di sistema non possono prendere decisioni informate riguardo al rischio nei loro sistemi, poiché le informazioni hanno accesso limitato.
- I malintenzionati che conoscono la falla hanno un lungo periodo di tempo per continuare a sfruttarla.
La scoperta di una vulnerabilità non è un evento mutuamente esclusivo, diversi ricercatori con diverse motivazioni, infatti, possono scoprire la stessa falla indipendentemente l’uno dall’altro.
Non ci sono delle vie standard per rendere le informazioni sulle vulnerabilità disponibili al pubblico, i ricercatori spesso usano delle mailing list dedicate per l’argomento, relazioni accademiche o conferenze industriali.
Non divulgazione
modificaLa non divulgazione è il principio secondo il quale nessuna informazione riguardo alle vulnerabilità debba essere condivisa, oppure condivisa sotto un accordo di non divulgazione (informalmente oppure mediante un contratto).
I principali sostenitori della non divulgazione includo venditori di software commerciale di exploiting, ricercatori che hanno intenzione di sfruttare la falla che hanno trovato,[4] e venditori che credono che ogni informazioni sulle vulnerabilità possa in qualche modo assistere i malintenzionati.
Dibattito
modificaArgomenti contro la divulgazione coordinata
modificaI ricercatori a favore della divulgazione coordinata credono che gli utenti non possano trarre vantaggio dalla conoscenza delle vulnerabilità senza la guida da parte del venditore del software, e la maggior parte di queste sono servite limitando la distribuzione di informazioni sulle vulnerabilità. I fautori di questa teoria sostengono che un attaccante dalla discrete competenze possa usare queste informazioni per compiere attacchi sofisticati che sarebbero oltre le loro vere abilità, e i potenziali benefici non hanno peso maggiore dei probabili danni causati da utenti malintenzionati. Solo quando il venditore ha preparato delle istruzioni che anche l’utente più semplice possa comprendere, allora le informazioni dovrebbero essere rese pubbliche.
Questa tesi presuppone che la scoperta di una vulnerabilità sia un evento mutuamente esclusivo, ovvero che solo una persona possa scoprire una vulnerabilità. Ci sono molti esempi di vulnerabilità che sono state scoperte simultaneamente, e spesso sono state sfruttate in segreto prima di essere scoperte da altri ricercatori.[9]
Argomenti contro la non divulgazione
modificaLa non divulgazione è tipicamente usata quando un ricercatore intende usare la conoscenza di una vulnerabilità per attaccare un sistema informatico gestito dai suoi nemici, oppure per scambiare le informazioni con una terza parte in cambio di denaro, la quale tipicamente la sfrutta per attaccare i suoi nemici.
I ricercatori che praticano questa metodologia, generalmente, non sono preoccupati nel migliorare la sicurezza o la protezione di una rete. Comunque, alcuni sostenitori di questa teoria sostengono semplicemente che non vogliono assistere i produttori di software, e affermano anche che non intendono danneggiare altri.
Mentre gli esponenti della piena e coordinata divulgazione dichiararono simili obiettivi e motivazioni, semplicemente non accettando il modo migliore di raggiungerli, la non divulgazione è totalmente incompatibile.
Note
modifica- ^ Jay Heiser, Exposing Infosecurity Hype, in Information Security Mag, TechTarget, January 2001. URL consultato il 20 dicembre 2017 (archiviato dall'url originale il 28 marzo 2006).
- ^ Bruce Schneier, Damned Good Idea, su schneier.com, CSO Online. URL consultato il 20 dicembre 2017.
- ^ Alfred Hobbs, Locks and Safes: The Construction of Locks, London, Virtue & Co., 1853.
- ^ a b Stephen Shepherd, Vulnerability Disclosure: How do we define Responsible Disclosure?, in SANS GIAC SEC PRACTICAL VER. 1.4B (OPTION 1), SANS Institute. URL consultato il 29 aprile 2013.
- ^ Steve Christey, Responsible Vulnerability Disclosure Process, su tools.ietf.org, IETF, p. 3.3.2. URL consultato il 29 aprile 2013.
- ^ Scott Culp, It’s Time to End Information Anarchy, in Technet Security, Microsoft TechNet. URL consultato il 29 aprile 2013 (archiviato dall'url originale il 9 novembre 2001).
- ^ Dan Goodin, Microsoft imposes security disclosure policy on all workers, in The Register. URL consultato il 29 aprile 2013.
- ^ Security TechCenter, Coordinated Vulnerability Disclosure, su technet.microsoft.com. URL consultato il 29 aprile 2013.
- ^ Ac1d B1tch3z, Ac1db1tch3z vs x86_64 Linux Kernel, su seclists.org. URL consultato il 29 aprile 2013.