================================================================================ ---------------------[ BFi13-dev - file 05 - 20/08/2004 ]----------------------- ================================================================================ -[ DiSCLAiMER ]----------------------------------------------------------------- Tutto il materiale contenuto in BFi ha fini esclusivamente informativi ed educativi. Gli autori di BFi non si riterranno in alcun modo responsabili per danni perpetrati a cose o persone causati dall'uso di codice, programmi, informazioni, tecniche contenuti all'interno della rivista. BFi e' libero e autonomo mezzo di espressione; come noi autori siamo liberi di scrivere BFi, tu sei libero di continuare a leggere oppure di fermarti qui. Pertanto, se ti ritieni offeso dai temi trattati e/o dal modo in cui lo sono, * interrompi immediatamente la lettura e cancella questi file dal tuo computer * . Proseguendo tu, lettore, ti assumi ogni genere di responsabilita` per l'uso che farai delle informazioni contenute in BFi. Si vieta il posting di BFi in newsgroup e la diffusione di *parti* della rivista: distribuite BFi nella sua forma integrale ed originale. -------------------------------------------------------------------------------- -[ C0LUMNS ]-------------------------------------------------------------------- ---[ PER ANDARE D0VE D0BBiAM0 ANDARE, D0VE D0BBiAM0 ANDARE? 0VVER0: ]----------- ---[ A CHi SERVE LA FULL DiSCL0SURE? ]----------- -----[ Andrea Monti ]--------------------------------- Per andare dove dobbiamo andare, dove dobbiamo andare? Ovvero: a chi serve la full disclosure? E' un dato di fatto che sul lavoro (spesso gratuito) di un gruppo relativamente piccolo di sviluppatori e hacker si e' sviluppato un fiorente mercato di attempati venditori di insicurezza e auto-nominati "guru". Costoro, senza il minimo pudore prosperano vendendo fumo e "casualmente" dimenticano la fonte del loro "successo": il lavoro della comunita' underground. Ma, nello stesso tempo, sono pronti, in pubblico, a buttare la croce su quelli che, in privato, danno loro di che vivere. Questa ipocrisia diffusa si traduce, in pratica, in un atteggiamento che criminalizza la diffusione di informazioni sulle vulnerabilita' (quando, ignorandole, non si riesce a fare "bella figura") e che "chiude un occhio" quando la confidenza di uno sprovveduto programmatore consente di "segnare un punto" con il megacliente di turno. Un altro fronte comprensibilmente avversario della libera circolazione delle informazioni sulle vulnerabilita' e' costituito dai produttori che, sempre piu' spesso, devono sopportare, impotenti, la pubblicita' negativa derivante dalla scoperta dell'ennesima vulnerabilita', magari addirittura gia' nota ma tenuta nascosta. Arrivera', presto o tardi, il giorno in cui qualcuno, grazie a qualche messaggio postato in giro per la rete, sara' chiamato a rispondere davanti a un giudice per avere deliberatamente venduto un prodotto noto per essere difettoso (una sola, in altri termini). Nel frattempo, pero' a finire in tribunale (o comunque a subire minacce di azioni legali) sono proprio coloro che, spinti dalle piu' diverse motivazioni, decidono di pubblicare i risultati dei loro studi. L'ultimo esempio, in ordine di tempo, e' proprio quello che ha riguardato articoli asseritamente pubblicati su BFi e che hanno provocato la reazione di un fabbricante di chiavette per distributori automatici il quale si lamentava, tramite il suo avvocato, del fatto che la pubblicazione di informazioni relative all'oggetto in questione sarebbe stata fatta con il solo scopo di istigare le persone a fruire gratuitamente (e illegalmente) di bevande e snack. Questo caso, a prescindere dal merito, e' utile perche' consente di definire in modo chiaro il problema in termini piu' generali: e' giusto che chi mette in commercio prodotti vulnerabili sperando che nessuno se ne accorga abbia il diritto di zittire chi si accorge del difetto e lo rende pubblico? E dall'altro lato: si ha il dovere di pubblicare senza particolari cautele una vulnerabilita' che - se sfruttata in malafede - potrebbe provocare danni anche irreparabili? Il punto e' che entrambe le posizioni, cosi' come sono formulate, sono insostenibili. La prima non e' difendibilie, perche' a nessuno, nemmeno a una multinazionale del mondo IT, puo' essere consentito di truffare i clienti e di esporre a pericolo le infrastrutture di comunicazione del Paese (ma pare che di questo, forze di polizia e magistrati non intendano occuparsi). La seconda non puo' funzionare, perche' a nessuno e' consentito "farsi giustizia da solo" e dunque, se chi ha rilasciato il prodotto "taroccato" non provvede a rimediare, questo non e' sufficiente per giustificare la distribuzione di informazioni in modalita' tale da rendere agevole a chiunque provocare danni. In sostanza, varrebbe la pena di riflettere su un modello alternativo di pubblicazione delle vulnerabilita' che consenta di dare il giusto credito scientifico e professionale a chi le scopre e a evitare che gli autonominati "guru" di cui sopra, speculino sul lavoro altrui. La risposta al problema puo' essere stabilire un rilascio delle informazioni a fasi progressive, che parte dalla comunicazione al produttore e alle forze di polizia, per poi, diffondere pubblicamente la vulnerabilita' senza fornire i dettagli per sfruttarla, e, solo dopo un ragionevole periodo di tempo, rendere disponibile tutto cio' che e' noto sul bug. La "responsible disclosure" - perche' di questo si tratta - non e' certo un tema nuovo e universalmente condiviso nel circuito della sicurezza. Pero', a pensarci su, sembra proprio essere l'unico mezzo per dare a Cesare quello che e' di Cesare. Informando, innanzi tutto, produttori e forze dell'ordine si mettono i primi nella condizione di rimediare al malfatto e i secondi, di imparare qualcosa, di non poter ignorare l'esistenza di un possibile illecito compiuto dal produttore (oltre a poter proteggere immediatamente le infrastrutture critiche). La circolazione delle informazioni prive dei dettagli consente ai clienti di percepire una necessita' riconoscendo, contemporaneamente, gli esperti di sicurezza (che sicuramente sapranno cosa fare) dagli show-man (che al di la' di qualche frase in anglo-milanese, non potranno andare). Il rilascio completo delle informazioni, quando oramai il peggio e' passato, serve, infine a consentire ai seri studiosi del settore di migliorare le proprie conoscenze. Una provocazione? Forse, ma e' ragionevole pensare che questa proposta sia uno dei pochi modi, se non l'unico, per continuare a fare circolare le informazioni senza rischiare di incorrere in violazioni di legge. ================================================================================ ------------------------------------[ EOF ]------------------------------------- ================================================================================