Home
Divulgazione (ir)responsabile

10 Ottobre 2012

Divulgazione (ir)responsabile

di

Chi fa software vorrebbe essere avvisato dei bug di sicurezza dai ricercatori. E va bene, se si comportano da responsabili.

Per il mondo Java è stato un periodo movimentato, con vari problemi di sicurezza tra i quali un exploit 0-day prontamente adottato da diversi soggetti più o meno bene intenzionati. Qualche irresponsabile che ha proceduto alla full disclosure, l’annuncio pubblico e integrale, senza attendere che il produttore potesse porvi rimedio?

Tutt’altro! Oracle ne aveva conoscenza da mesi ma aveva semplicemente scelto di non fare nulla. Lo scalpore ha costretto Oracle a intervenire con una versione che risolveva il problema in questione e purtroppo ha lasciato Java vulnerabile ad altri problemi simili.

Questa situazione illustra i problemi relativi alla full disclosure e alle sue tempistiche. La stessa storia si può raccontare per diversi episodi con diversi bersagli (siano sistemi operativi, applicazioni o altro).

Che cosa sarebbe successo se l’informazione relativa alla vulnerabilità di Java non fosse divenuta pubblica? Oracle avrebbe potuto continuare ad ignorare il problema e lo sfruttamento della vulnerabilità (già in corso prima della sua pubblicazione) sarebbe rimasto dominio di (relativamente) pochi. In questo caso quindi la pubblicazione ha forzato Oracle a rilasciare una patch correttiva nell’arco di un paio di giorni.

Capisco chi considera irresponsabile una full disclosure in modi che non consentano al produttore di predisporre una correzione, ma considero altrettanto irreponsabile il comportamento di chi è informato dei problemi critici esistenti nel proprio software e non interviene tempestivamente. La prossima volta che qualche studioso pubblica un’analisi su uno zero-day forse sarà il caso di ringraziarlo prima di attribuirgli una condotta irresponsabile.

Ho concluso che i troppi problemi presenti nella “responsibile disclosure” la rendono davvero scarsamente “responsible”; perché dobbiamo continuare a chiamarla così? La divulgazione responsabile dovrebbe andare oltre la scoperta e la comunicazione del bug al produttore, per coinvolgere l’autore della scoperta e farne parte attiva della procedura di patching.

Se volete approfondire, consiglio di iniziare leggendo la policy pubblicata da un ricercatore per diletto come Luigi Auriemma e di cui abbiamo appena riportato un brano. Poi riflettete su cosa voglia dire obbligare un ricercatore a supportare gratuitamente una grande azienda nella risoluzione del problema che ha evidenziato, fosse per merito o fortuna.

Iscriviti alla newsletter

Novità, promozioni e approfondimenti per imparare sempre qualcosa di nuovo

Gli argomenti che mi interessano:
Iscrivendomi dichiaro di aver preso visione dell’Informativa fornita ai sensi dell'art. 13 e 14 del Regolamento Europeo EU 679/2016.