Il nostro blog

Sicurezza: vulnerabilità e ‘disclosure game’

k

10 Aprile 2017

Bryan K. Fite

I post dei nostri autori:  Bryan K. Fite , Account CISO, BT.

LinkedInTwitter

Installare le patch nei propri sistemi non è un problema, sempre che le vulnerabilità siano note. Ecco perchè la loro disclosure è così importante per la cybersecurity.

Troopers, la più importante conferenza mondiale di hacker quest’anno ha festeggiato dieci anni. Impossibile farne un report completo in un solo post, troppi gli argomenti affrontati, tra ‘killer keynote’, RF, IPv6, workshop Telecosec, sessioni generali, tavole rotonde, una epica battaglia Packetwars, speaker dinner, oltre che diversi interessanti suggerimenti di lettura.

Quindi il post si concentrerà su un tema – che possiamo chiamare ‘disclosure game’ presente in molte delle interazioni con i partecipanti all’evento.

Trovare i bug nel sistema.

E’ bello incontrare a Troopers tanti ricercatori e professionisti della sicurezza. E il ‘disclosure game’  si riferisce a come reagisce l’hacker che è in loro quando scopre un bug in un qualsiasi sistema.

La passione, la determinazione e l’urgenza di capire ‘come’ funzionano le cose è uno dei tratti tipici degli hacker. Spesso, nella loro attività di discovery, gli esperti di sicurezza scoprono in un sistema vulnerabilità, bug e / o falle rilevanti. Qualcosa che può far sì che il sistema operi al di fuori della sua funzione prevista, che non funzioni o che comunque ‘si rompa’.

La maggior parte delle vulnerabilità dei sistemi si riferiscono a bug software, che possono essere corretti con delle patch. E quanto più a lungo di un bug (vale a dire una vulnerabilità) è noto, ma rimane senza patch, tanto maggiore è il rischio per il sistema.

Perchè la disclosure è importante.

E’ in questo ambito che bug noti internamente (spesso chiamati ‘0-Day’) possono dare ai malintenzionati delle armi pericolose, nel momento in cui decidono di sfruttarli. Mi riferisco spesso all’Exposure Index quando parlo di queste minacce.

point of origin hacking

Rendere noto un bug è critico. Più persone / organizzazioni ne sono a conoscenza, maggiore è la probabilità sia che sia sfruttato sia che si sviluppino contromisure. E’ qui che il ‘disclosure game’ si gioca, nella linea sottile che separa una patch efficace da un incidente di sicurezza.

Le difese dipendono da chi è ad avere interesse nella disclosure.

Allora, qual è il miglior modo di rendere nota una vulnerabilità? Come con la maggior parte delle domande, la risposta è: dipende.

Uno stato nazionale potrebbe costruirsi un arsenale cyber di questo tipo di ‘armi’. Un individuo a caccia di gloria potrebbe scrivere tutti i dettagli in un forum pubblico e vedere come il mondo reagisce. Un freelance potrebbe monetizzare la scoperta attraverso programmi di bug-bounty (accordi economici) o vendendoli al miglior offerente in un dark forum.

E ‘anche importante capire l’impatto desiderato o potenziale del rilascio delle informazioni a diverse entità. Causerà danni alle persone? Chi trae vantaggio dalla divulgazione? E’ legale divulgare? Come influisce sul  ‘brand’?

Credo che ci stiamo avviando verso un periodo in cui ci saranno tre principali tipi di divulgazione:

  • Disclosure completa – senza attribuzione o con attrubuzione non verificabile.
  • Disclosure a tempo ‘escrow disclosure’ – con attribuzione, ma con motivazione non chiara.
  • Accordi economici (bug bounty) – in cui le vulnerabilità diventano proprietà dell’entità che compra.

L’argomento merita di essere ulteriormente discusso e Bryan articolerà gli elementi che influenzano il suo  punto di vista – a DCXI nel mese di settembre.

Altre letture sul tema:

Discussione su come gli esperti di sicurezza abbiano approcciato il problema. Il doc fa anche riferimento alla RFC e allo standard ISO (ISO/IEC 29147:2014) che si sta guadagnando molta attenzione, principalmente focalizzati sui due primari stakeholder (scopritore e vendor).

Osservazioni sul tema specifico del Project Zero di Google da parte di Bruce Schneier, che si occupa di tematiche quali etica, riservatezza e trasparenza all’interno dell’ecosistema cyber.