lunedì 15 marzo 2010

MUMBLE - La responsible disclosure è davvero responsabile?

Un ricercatore israeliano ha pubblicato qualche giorno fa un exploit per la vulnerabilità di tipo 0day per IE 6 e 7 scoperta martedì scorso. Questa notizia mi ha fatto riflettere un po' su come vengono tradotti in pratica i concetti di "responsible disclosure" e "full disclosure".

Gli argomenti sono stranoti. Chi propende per la full disclosure sostiene che, mettere pressione ai produttori rivelando a tutti le informazioni che si hanno circa una vulnerabilità, consentirà di ottenere un risultato migliore e più veloce. Inoltre, tutti coloro che possono essere bersaglio di un'attività malevola causata dalla vulnerabilità potranno difendersi meglio e più consapevolmente se avranno accesso a tutte le informazioni. 
Chi invece è fautore della responsible o limited disclosure (con alcune differenze che qui non approfondisco) sostiene che, prima di rendere pubblici i dati più importanti e potenzialmente dannosi di una vulnerabilità, si deve dare il tempo ai produttori di intervenire e produrre un correttivo per la vulnerabilità stessa.

Bene, questi, grossomodo, i termini in gioco. 
Vediamo di calarli nella realtà di quello che è successo la settimana scorsa. 

Martedì, viene diffusa la notizia che è stata scoperta una vulnerabilità di tipo 0day (cioè senza alcuna patch) per IE 6 e 7, già attivamente sfruttata in alcuni attacchi mirati. Nel blog di McAfee esce la notizia "sanitizzata", come dicono loro. Le informazioni che inseriscono, tuttavia, consentono ad un ricercatore israeliano di individuare una fonte dell'attacco ancora attiva e di carpirne il codice. Dopo pochi minuti (necessari per riportare in chiaro il codice dell'attacco) l'exploit viene reso di pubblico dominio. Sabato Microsoft rilascia un tool per arginare il problema.

Apparentemente McAfee ha sposato la filosofia della limited disclosure e il ricercatore solitario invece quella della full disclosure. Abbiamo quindi assistito ad una serie di reprimende sullo sconsiderato che ha messo a repentaglio la sicurezza di molti utenti. Ma le cose stanno proprio così? Può essere solo frutto di un errore l'inserimento di dati che indirettamente consentono di avere accesso proprio a ciò che si voleva nascondere. Evidentemente no. 

Il problema per me è diverso.

Lo scenario attuale, dove molti soggetti si contendono il pubblico a suon di notizie e dettagli sempre più puntuali, inevitabilmente porta a situazioni come queste. Forse, sarebbe meglio mettersi tutti d'accordo prima su cosa si deve intendere per responsible disclosure. In questo senso ci dovrebbe essere un punto fermo a fine 2010 con il rilascio dello standard ISO/IEC 29147 che fissa appunto i termini della responsible disclosure. Certo è che, proseguire secondo uno schema che ha consentito un accesso ad informazioni ritenute critiche solo da parte di chi ha le conoscenze e le motivazioni necessarie, tipicamente un "cattivo", è un modo per mettere seriamente a repentaglio la sicurezza degli utenti, perché i vendor, apparentemente al sicuro sotto l'ombra della responsible disclosure, possono prendersela comoda, e i cattivi hanno tutte le informazioni necessarie.

Urge una riflessione perché, in questo frangente, credo che la full disclosure sia stata più responsabile della responsible. O no?

PS E' interessante notare che tutto questo sia avvenuto negli stessi giorni in cui il CISO dello stato della Pennsylvania è stato licenziato su due piedi per aver parlato di un incidente minore nel corso di un intervento alla RSA Conference. Senza peraltro rivelare nulla di compromettente.

1 commento:

Anonimo ha detto...

Ciao Matteo,
è un piacere ritrovarti sul web con questa iniziativa. davvero molto interessante.
Un caro saluto,
Dario Vaccaro

Posta un commento

http://www.wikio.it