2 Commenti

Mi si nota di più con la patch o senza?

Divulgazione (ir)responsabile

di

thumbnail

10

ott

2012

Chi fa software vorrebbe essere avvisato dei bug di sicurezza dai ricercatori. E va bene, se si comportano da responsabili.

Per il mondo Java è stato un periodo movimentato, con vari problemi di sicurezza tra i quali un exploit 0-day prontamente adottato da diversi soggetti più o meno bene intenzionati. Qualche irresponsabile che ha proceduto alla full disclosure, l’annuncio pubblico e integrale, senza attendere che il produttore potesse porvi rimedio?

Tutt’altro! Oracle ne aveva conoscenza da mesi ma aveva semplicemente scelto di non fare nulla. Lo scalpore ha costretto Oracle a intervenire con una versione che risolveva il problema in questione e purtroppo ha lasciato Java vulnerabile ad altri problemi simili.

Questa situazione illustra i problemi relativi alla full disclosure e alle sue tempistiche. La stessa storia si può raccontare per diversi episodi con diversi bersagli (siano sistemi operativi, applicazioni o altro).

Che cosa sarebbe successo se l’informazione relativa alla vulnerabilità di Java non fosse divenuta pubblica? Oracle avrebbe potuto continuare ad ignorare il problema e lo sfruttamento della vulnerabilità (già in corso prima della sua pubblicazione) sarebbe rimasto dominio di (relativamente) pochi. In questo caso quindi la pubblicazione ha forzato Oracle a rilasciare una patch correttiva nell’arco di un paio di giorni.

Capisco chi considera irresponsabile una full disclosure in modi che non consentano al produttore di predisporre una correzione, ma considero altrettanto irreponsabile il comportamento di chi è informato dei problemi critici esistenti nel proprio software e non interviene tempestivamente. La prossima volta che qualche studioso pubblica un’analisi su uno zero-day forse sarà il caso di ringraziarlo prima di attribuirgli una condotta irresponsabile.

Ho concluso che i troppi problemi presenti nella “responsibile disclosure” la rendono davvero scarsamente “responsible”; perché dobbiamo continuare a chiamarla così? La divulgazione responsabile dovrebbe andare oltre la scoperta e la comunicazione del bug al produttore, per coinvolgere l’autore della scoperta e farne parte attiva della procedura di patching.

Se volete approfondire, consiglio di iniziare leggendo la policy pubblicata da un ricercatore per diletto come Luigi Auriemma e di cui abbiamo appena riportato un brano. Poi riflettete su cosa voglia dire obbligare un ricercatore a supportare gratuitamente una grande azienda nella risoluzione del problema che ha evidenziato, fosse per merito o fortuna.




Francesco Armando (@quasidot) ha iniziato a curiosare nel mondo dell’informatica ai tempi del glorioso Commodore 64 e da allora non è riuscito a smettere. Ha un debole per i temi della privacy, della disponibilità e della sicurezza. Pare lavorare presso un vendor europeo specializzato nella network security e si diletta a provare servizi online più o meno improbabili. Il suo blog è testimone di queste divagazioni quasi ragionevoli.

Letto 5.297 volte | Tag: , , , , , , ,

2 commenti

  1. quasi. | Divulgazione irresponsabile | Apogeonline

    [...] Divulgazione irresponsabile | Apogeonline. Share this:TwitterFacebookMoreEmailPrintLinkedIn This entry was posted in personali and tagged apogeo, articolo. Bookmark the permalink. [...]

  2. Davanti al giudice tra bianco e nero | Apogeonline

    [...] ed un metro potrebbe essere quello relativo alle modalità di divulgazione dei risultati, quella responsible disclosure sempre al centro delle [...]

Lascia il tuo commento