Massimiliano Brolli : 19 Novembre 2021 21:42
Autore: Brolli Massimiliano
Data Pubblicazione: 19/11/2021
Su Red Hot Cyber abbiamo spesso parlato della divulgazione coordinata delle vulnerabilità, con dei video sul nostro canale youtube e con molti articoli sul tema dicendo che la forza della trasparenza e della community, partendo dai ricercatori di sicurezza fino ad arrivare agli utilizzatori dei software e agli amministratori dei sistemi, permette di renderci più sicuri.
PARTE LA PROMO ESTATE -40%
RedHotCyber Academy lancia una promozione esclusiva e a tempo limitato per chi vuole investire nella propria crescita professionale nel mondo della tecnologia e della cybersecurity!
Approfitta del 40% di sconto sull’acquisto congiunto di 3 corsi da te scelti dalla nostra Academy. Ad esempio potresti fare un percorso formativo includendo Cyber Threat intelligence + NIS2 + Criptovalute con lo sconto del 40%. Tutto questo lo potrai fruire, dove e quando vuoi e con la massima flessibilità, grazie a lezioni di massimo 30 minuti ciascuna.
Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Molti potrebbero pensare, che non divulgando gli exploit dei bug di sicurezza, si possa in qualche modo preservare i sistemi da attacchi informatici da parti di attori malevoli, ma questo è appunto una vista superficiale al problema. Oggi vorrei parlare proprio di questo, spiegare il perché bisogna sempre premiare la trasparenza ed incentivare la “full disclosure”, a valle della conclusione della divulgazione responsabile delle vulnerabilità (CVD).
Esistono 5 diversi modelli di divulgazione delle vulnerabilità che possiamo sintetizzare di seguito:
Ad oggi, il modello che sta prendendo piede nel “mercato bianco”, è la Coordinated Vulnerability Disclosure (o abbreviato come CVD), dove la vulnerabilità viene resa pubblica solo dopo la produzione della patch da parte del vendor.
Sia nei programmi di bug-bounty (ad es. HackerOne o BugCrowd), oppure nella normale gestione dei programmi di Responsible Disclosure delle aziende, si tende sempre a far produrre la fix dal vendor prima di divulgare informazioni sulla vulnerabilità rilevata.
Questo ovviamente consente ai clienti dei prodotti software di avere a disposizione la patch prima della divulgazione delle informazioni di sfruttamento, come una normale PoC che segue la “full disclosure” (anche se in questo caso dopo la patch).
Questo è di fondamentale importanza in quanto una volta pubblicata una PoC di sfruttamento di una vulnerabilità di rilievo (ad esempio una Remote Code Execution da 9,8), miriadi di black hacker iniziano a scansionare internet alla ricerca delle infrastrutture vulnerabili, per trarne un profitto.
Avere a disposizione la patch già prodotta, ovviamente da un vantaggio enorme a tutta la community in quanto c’è una soluzione per la risoluzione della vulnerabilità, cosa che nella “full disclosure”, non avrebbe consentito al vendor di agire.
Ma anche dopo aver prodotto la patch di sicurezza, quindi completata la CVD, c’è una diatriba tra vendor e ricercatori di bug.
Quale modello, alla fine della divulgazione responsabile delle vulnerabilità adottare?
Pubblicare tutte le informazioni, compresi i “payload” per sfruttare il bug, oppure limitarci solo a dire quale CWE è stata rilevata?
Si potrebbe quindi pensare che un criminale informatico, avendo a disposizione tutti i dettagli di sfruttamento di una vulnerabilità, possa in qualche modo fare prima “dell’amministratore di sistema distratto”, e quindi violare il sistema prima che questo installi la patch.
Ma esistono diversi vantaggi nella “full disclosure” che devono essere compresi che a prima vista non si riescono ad intravedere e possiamo sintetizzare in:
Inoltre possiamo concludere dicendo che la trasparenza ha sempre premiato piuttosto che una condotta di “no disclosure”. Infatti, tale modello è adottato ad oggi da tutti i BIG dell’IT come Microsoft, Google, Apple, Amazon, Facebook e chi più ne ha più ne metta.
Molte aziende, anche di prestigio, oggi hanno paura delle pubblicazione delle proprie CVE.
Ma questa è una tipica “vista miope” in quanto le aziende che non hanno cultura nella cyber security sono solite “chiudersi a riccio”. Questo perché si pensa che avere una CVE pubblicata sul National Vulnerability Database (NVD) degli Stati Uniti D’America è un danno per la propria brand e web reputation.
Successivamente però queste aziende iniziano ad ampliare la proprie conoscenze e avviano un programma di Responsible Disclosure ben fatto e iniziano a comprendere che con la collaborazione, in questo caso della community hacker, e la divulgazione delle proprie vulnerabilità verso la community, riescono a mettersi più al sicuro che “chiudendosi a riccio”.
Lo capiscono talmente tanto bene che quell’azienda dopo diventa una CNA (CVE Numbering Authorities, ovvero si mette in condizioni di aprire lei stessa le CVE per i suoi prodotti) e crea una pagina di “hall of fame” per “celebrare i suoi ricercatori” che le hanno fornito informazioni sui bug di sicurezza dei loro prodotti e alla fine attiva un programma di bug bounty per poter “pagare” chi trova le falle sui suoi prodotti.
Apple, ultimamente sta avendo problemi con i suoi software e soprattutto con la community hacker in quanto si sta allontanando dai suoi prodotti, per problematiche di patch lente e mancati riconoscimenti, oltra alla politica notoriamente a software chiuso. Non avere gli hacker etici dalla propria parte, quando sei una azienda come Apple, o sei una azienda che produce apparati network che stanno varcando la soglia dell’IT attraverso la NFV (Network functions virtualization), oggi non è assolutamente una scelta saggia.
Nella storia, ed in particolare nella storia dell’informatica, la collaborazione e la condivisione sono sempre più premiate che il “Modello chiuso”. Qualche motivo ci sarà no?
Google è al centro di un’imponente causa in California che si è conclusa con la decisione di pagare oltre 314 milioni di dollari agli utenti di smartphone Android nello stato. Una giu...
La RHC Conference 2025, organizzata da Red Hot Cyber, ha rappresentato un punto di riferimento per la comunità italiana della cybersecurity, offrendo un ricco programma di talk, workshop e compet...
Nella giornata di ieri, Red Hot Cyber ha pubblicato un approfondimento su una grave vulnerabilità scoperta in SUDO (CVE-2025-32463), che consente l’escalation dei privilegi a root in ambie...
Il Dipartimento di Giustizia degli Stati Uniti ha annunciato la scoperta di un sistema su larga scala in cui falsi specialisti IT provenienti dalla RPDC i quali ottenevano lavoro presso aziende americ...
Le persone tendono a essere più comprensive nei confronti dei chatbot se li considerano interlocutori reali. Questa è la conclusione a cui sono giunti gli scienziati dell’Universit&#x...
Copyright @ REDHOTCYBER Srl
PIVA 17898011006