Massimiliano Brolli : 19 Novembre 2021 21:42
Autore: Brolli Massimiliano
Data Pubblicazione: 19/11/2021
Su Red Hot Cyber abbiamo spesso parlato della divulgazione coordinata delle vulnerabilità, con dei video sul nostro canale youtube e con molti articoli sul tema dicendo che la forza della trasparenza e della community, partendo dai ricercatori di sicurezza fino ad arrivare agli utilizzatori dei software e agli amministratori dei sistemi, permette di renderci più sicuri.
Sei un Esperto di Formazione?
Entra anche tu nel Partner program!
Accedi alla sezione riservata ai Creator sulla nostra Academy e scopri i vantaggi riservati ai membri del Partner program.
Per ulteriori informazioni, scrivici ad [email protected] oppure su Whatsapp al 379 163 8765
Supporta RHC attraverso:
Molti potrebbero pensare, che non divulgando gli exploit dei bug di sicurezza, si possa in qualche modo preservare i sistemi da attacchi informatici da parti di attori malevoli, ma questo è appunto una vista superficiale al problema. Oggi vorrei parlare proprio di questo, spiegare il perché bisogna sempre premiare la trasparenza ed incentivare la “full disclosure”, a valle della conclusione della divulgazione responsabile delle vulnerabilità (CVD).
Esistono 5 diversi modelli di divulgazione delle vulnerabilità che possiamo sintetizzare di seguito:
Ad oggi, il modello che sta prendendo piede nel “mercato bianco”, è la Coordinated Vulnerability Disclosure (o abbreviato come CVD), dove la vulnerabilità viene resa pubblica solo dopo la produzione della patch da parte del vendor.
Sia nei programmi di bug-bounty (ad es. HackerOne o BugCrowd), oppure nella normale gestione dei programmi di Responsible Disclosure delle aziende, si tende sempre a far produrre la fix dal vendor prima di divulgare informazioni sulla vulnerabilità rilevata.
Questo ovviamente consente ai clienti dei prodotti software di avere a disposizione la patch prima della divulgazione delle informazioni di sfruttamento, come una normale PoC che segue la “full disclosure” (anche se in questo caso dopo la patch).
Questo è di fondamentale importanza in quanto una volta pubblicata una PoC di sfruttamento di una vulnerabilità di rilievo (ad esempio una Remote Code Execution da 9,8), miriadi di black hacker iniziano a scansionare internet alla ricerca delle infrastrutture vulnerabili, per trarne un profitto.
Avere a disposizione la patch già prodotta, ovviamente da un vantaggio enorme a tutta la community in quanto c’è una soluzione per la risoluzione della vulnerabilità, cosa che nella “full disclosure”, non avrebbe consentito al vendor di agire.
Ma anche dopo aver prodotto la patch di sicurezza, quindi completata la CVD, c’è una diatriba tra vendor e ricercatori di bug.
Quale modello, alla fine della divulgazione responsabile delle vulnerabilità adottare?
Pubblicare tutte le informazioni, compresi i “payload” per sfruttare il bug, oppure limitarci solo a dire quale CWE è stata rilevata?
Si potrebbe quindi pensare che un criminale informatico, avendo a disposizione tutti i dettagli di sfruttamento di una vulnerabilità, possa in qualche modo fare prima “dell’amministratore di sistema distratto”, e quindi violare il sistema prima che questo installi la patch.
Ma esistono diversi vantaggi nella “full disclosure” che devono essere compresi che a prima vista non si riescono ad intravedere e possiamo sintetizzare in:
Inoltre possiamo concludere dicendo che la trasparenza ha sempre premiato piuttosto che una condotta di “no disclosure”. Infatti, tale modello è adottato ad oggi da tutti i BIG dell’IT come Microsoft, Google, Apple, Amazon, Facebook e chi più ne ha più ne metta.
Molte aziende, anche di prestigio, oggi hanno paura delle pubblicazione delle proprie CVE.
Ma questa è una tipica “vista miope” in quanto le aziende che non hanno cultura nella cyber security sono solite “chiudersi a riccio”. Questo perché si pensa che avere una CVE pubblicata sul National Vulnerability Database (NVD) degli Stati Uniti D’America è un danno per la propria brand e web reputation.
Successivamente però queste aziende iniziano ad ampliare la proprie conoscenze e avviano un programma di Responsible Disclosure ben fatto e iniziano a comprendere che con la collaborazione, in questo caso della community hacker, e la divulgazione delle proprie vulnerabilità verso la community, riescono a mettersi più al sicuro che “chiudendosi a riccio”.
Lo capiscono talmente tanto bene che quell’azienda dopo diventa una CNA (CVE Numbering Authorities, ovvero si mette in condizioni di aprire lei stessa le CVE per i suoi prodotti) e crea una pagina di “hall of fame” per “celebrare i suoi ricercatori” che le hanno fornito informazioni sui bug di sicurezza dei loro prodotti e alla fine attiva un programma di bug bounty per poter “pagare” chi trova le falle sui suoi prodotti.
Apple, ultimamente sta avendo problemi con i suoi software e soprattutto con la community hacker in quanto si sta allontanando dai suoi prodotti, per problematiche di patch lente e mancati riconoscimenti, oltra alla politica notoriamente a software chiuso. Non avere gli hacker etici dalla propria parte, quando sei una azienda come Apple, o sei una azienda che produce apparati network che stanno varcando la soglia dell’IT attraverso la NFV (Network functions virtualization), oggi non è assolutamente una scelta saggia.
Nella storia, ed in particolare nella storia dell’informatica, la collaborazione e la condivisione sono sempre più premiate che il “Modello chiuso”. Qualche motivo ci sarà no?