Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Massimiliano Brolli : 11 Febbraio 2022 07:20
Si parla spesso dell’approccio alla divulgazione responsabile delle vulnerabilità, ma come abbiamo già visto, molto spesso, tutto questo non avviene con una prassi ben regolamentata, sebbene ci siano diversi spunti a livello internazionale e best practices, anche in ambito ENISA.
Quindi è sicuro ed è corretto divulgare le vulnerabilità in modo responsabile, ed è importante farlo.
Questo consente di dare modo a tutta l’industria del software di migliorarsi, di migliorare tutti i prodotti di detection delle vulnerabilità pubbliche oltre che a rendere tutti partecipi del fatto che è necessaria una patch per uno specifico prodotto che risolve un pericoloso 0-day.
Iscriviti GRATIS alla RHC Conference 2025 (Venerdì 9 maggio 2025)
Il giorno Venerdì 9 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà
la RHC Conference 2025. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico.
La giornata inizierà alle 9:30 (con accoglienza dalle 9:00) e sarà interamente dedicata alla RHC Conference, un evento di spicco nel campo della sicurezza informatica. Il programma prevede un panel con ospiti istituzionali che si terrà all’inizio della conferenza. Successivamente, numerosi interventi di esperti nazionali nel campo della sicurezza informatica si susseguiranno sul palco fino alle ore 19:00 circa, quando termineranno le sessioni. Prima del termine della conferenza, ci sarà la premiazione dei vincitori della Capture The Flag prevista per le ore 18:00.
Potete iscrivervi gratuitamente all'evento utilizzando questo link.
Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Ma ancora oggi, molte aziende sono riluttanti ad attivare programmi di bug Bounty o responsabile disclosure e tendono sempre ad evitare quella che viene chiamata full disclosure (a valle della coordinated vulnerability disclosure), ovvero la pubblicazione completa dei payload relativi alla specifica vulnerabilità.
Questo spesso viene fatto emettendo patch senza dire nulla al mondo intero, che è stato risolto un pericoloso zeroday pensando che avere dei CVE pubblicati sul National vulnerability database (NVD) degli Stati uniti d’america, porti un danno in termini di brand reputetion e web reputetion.
Ma questo è un comportamento sbagliato in quanto non tutela la trasparenza verso i consumatori oltre a creare una chiusura e un aumento delle vulnerabilità non documente, dimenticando che questo è un diritto di tutti i clienti che acquistano un determinato pridotto hardware o software.
Non esistono software privi di vulnerabilità, anche con i migliori processi di sviluppo sicuro e quindi una attiva collaborazione con i ricercatori di bug, se ben gestita, consente invece di migliorare drasticamente la sicurezza dei prodotti, beneficiando entrambi (ricercatore e aziende) in eguale misura.
Tutte le grandi aziende dovrebbe disporre di una CNA (CVE Numbering Authority), ovvero essere in grado di assegnare autonomamente i CVE a seguito della scoperta di nuove falle di sicurezza divulgate in modo responsabile dai ricercatori di bug.
Questo è un percorso che non si attua dall’oggi al domani, ma è importante pensarci, soprattutto mi riferisco a chi sviluppa software e lo vende in un panorama internazionale.
Vi ricordate dell’inizio dell’emergenza da coronavirus e di quanto parlammo dei bug di zoom? Inizialmente l’azienda pensava che la sicurezza non era un valore abilitante, si parlo della finta crittografia e2e, di politiche di sicurezza non conformi, ma poi venne avviato un piano 90gg per rimettere in sesto la cyber posture aziendale con tanto di programma di bug bounty in hackerone e con l’acquisto dell’azienda di sicurezza Keybase specializzata nella crittografia dei dati.
Pensate che ci sono aziende che portano i loro prodotti a manifestazioni, dove lo scopo è ricercare vulnerabilità non classificate pagando i ricercatori per questo sforzo, oltre a regalare i prodotti stessi e poi emettere i CVE.
Parlo di Pwn2own, parlo ti Tesla, che regalò una Model 3 a dei ricercatori che avevano scoperto degli zeroday, ma anche di Microsoft, Apple, Google e tanti altri che hanno capito che collaborare attivamente con i ricercatori premia entrambi, in modo trasparente, oltre che a tutelare tutti i loro clienti.
Tutto questo è vero, è un percorso che non avviene dall’oggi al domani, ma solo le aziende che comprenderanno l’importanza dell’aiuto da parte della comunità hacker per migliorare i propri prodotti potranno avere successo, nel prossimo e difficile futuro.
Massimiliano BrolliDomani celebreremo uno degli elementi più iconici – e al tempo stesso vulnerabili – della nostra vita digitale: la password. Da semplice chiave d’accesso inventata negli anni...
Ci sono luoghi nel web dove la normalità cede il passo all’illecito, dove l’apparenza di un marketplace moderno e funzionale si trasforma in una vetrina globale per ogni tipo di rea...
Le backdoor come sappiamo sono ovunque e qualora presenti possono essere utilizzate sia da chi le ha richieste ma anche a vantaggio di chi le ha scoperte e questo potrebbe essere un caso emblematico s...
Il 25 febbraio 2025 WindTre ha rilevato un accesso non autorizzato ai sistemi informatici utilizzati dai propri rivenditori. L’intrusione, riconosciuta come un’azione malevola, è st...
Ancora non sono chiari i motivi che hanno causato un grave Blackout in Spagna e Portogallo nelle ultime ore. Vaste aree sono rimaste senza energia elettrica, scatenando un’ondata di speculazion...
Copyright @ REDHOTCYBER Srl
PIVA 17898011006
