Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Responsabilità, etica e zeroday

Massimiliano Brolli : 16 Aprile 2020 20:27

Articolo di: Massimiliano Brolli
Data pubblicazione: 16/04/2020

Quando scoprite una vulnerabilità non documentata – un cosiddetto zeroday – oppure siete un’azienda che produce software e vi viene segnalato un bug, cosa fate?

Siete responsabili? Siete etici?


CALL FOR SPONSOR - Sponsorizza l'ottavo episodio della serie Betti-RHC

Sei un'azienda innovativa, che crede nella diffusione di concetti attraverso metodi "non convenzionali"? Conosci il nostro corso sul cybersecurity awareness a fumetti? Red Hot Cyber sta ricercando un nuovo sponsor per una nuova puntata del fumetto Betti-RHC mentre il team è impegnato a realizzare 3 nuovi episodi che ci sono stati commissionati.

Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]


Supporta RHC attraverso:
  • L'acquisto del fumetto sul Cybersecurity Awareness
  • Ascoltando i nostri Podcast
  • Seguendo RHC su WhatsApp
  • Seguendo RHC su Telegram
  • Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab


  • Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.


    Il mercato dei bug sta diventando sempre più complesso, connesso a fortissimi interessi economici e caratterizzato da diverse scale di grigio. Seppur esistono delle prassi internazionali (anche in ambito ENISA) che regolano la Coordinated Vulnerability Disclosure, chiamata anche CVD, non sempre la collaborazione tra fornitore e ricercatore di sicurezza porta a un corretto riconoscimento dei bug e, quindi, a un miglioramento generale.

    In una situazione di non sempre corretta adozione della CVD, il buonsenso e l’etica diventano allora la strada da seguire, cercando di essere responsabili nelle cose che si fanno, adottando sempre trasparenza e collaborazione.

    In questo senso, i termini Responsabilità ed Etica si riferiscono non solo ai ricercatori di bug, ma anche ai fornitori di prodotti hardware e software in quanto una “stretta collaborazione” consente e rinforza la volontà di entrambi di ridurre il rischio per tutte le parti interessate, oltre che per tutti gli utilizzatori di quel prodotto specifico.

    Premesso che ancora oggi si discute se sia corretto divulgare le vulnerabilità pubblicamente, oppure tenerle segrete fino alla realizzazione della fix, c’è da dire che spesso si è davanti a mancate risposte dei vendor di prodotto ai ricercatori di bug, cosa che in regime di buon senso è paradossale oltre che controproducente per tutti.

    Ecco quindi che il vendor (anche se non ha un programma di Responsible Disclosure o di bug bounty), dovrebbe essere riconoscente al singolo ricercatore che lo informa di una vulnerabilità che lui stesso non ha rilevato sul suo prodotto, cosa che alle volte non accade e che in alcuni casi finisce sui giornali o in cause legali, cosa che abbiamo visto accadere anche a big player quali Google, Apple e Microsoft.

    Ma comprendo che il contesto è complicato.

    Avere sul National Vulnerability Database (CVN) dei CVE del proprio prodotto può dare fastidio a tutti i produttori, in quanto sta a significare che le cose non siano state fatte “a regola d’arte”.

    Ma è anche vero che se quelle vulnerabilità non fossero pubbliche – e se, magari, la weaponization abbia avuto luogo in maniera efficace per poi armare Virus, Rat e Malware di altra natura – la cosa potrebbe finire molto, ma molto peggio.

    Occorre quindi sviluppare software sicuro, attivando tutti i corretti programmi di sicurezza; ma siamo grati ai ricercatori che scoprono i bug, perché rendono le nostre applicazioni più sicure e ci aiutano a vedere oltre, arrivando anche dove noi non eravamo riusciti a farlo.

    Massimiliano Brolli
    Responsabile del RED Team e della Cyber Threat Intelligence di una grande azienda di Telecomunicazioni e dei laboratori di sicurezza informatica in ambito 4G/5G. Ha rivestito incarichi manageriali che vanno dal ICT Risk Management all’ingegneria del software alla docenza in master universitari.

    Lista degli articoli
    Visita il sito web dell'autore

    Articoli in evidenza

    Sindoor Dropper: il malware che usa lo scontro India-Pakistan per infettare Linux
    Di Redazione RHC - 31/08/2025

    Un’insidiosa offensiva di malware, nota come “Sindoor Dropper”, si concentra sui sistemi operativi Linux, sfruttando metodi di spear-phishing raffinati e un complesso processo d’infezione arti...

    Che la caccia abbia inizio! Gli hacker sfruttano la falla Citrix per infiltrarsi nei sistemi globali
    Di Redazione RHC - 30/08/2025

    E’ stata rilevata una falla critica zero-day nei sistemi Citrix NetScaler, catalogata come CVE-2025-6543, che è stata oggetto di sfruttamento attivo da parte degli hacker criminali da maggio 2025, ...

    Il Pentagono avvia un Audit su Microsoft. Si indaga sugli ingegneri cinesi e su presunte backdoor
    Di Redazione RHC - 30/08/2025

    Il Pentagono ha inviato una “lettera di preoccupazione” a Microsoft documentando una “violazione di fiducia” in merito all’utilizzo da parte dell’azienda di ingegneri cinesi per la manuten...

    La miglior difesa è l’attacco! Google è pronta a lanciare Cyber Attacchi contro gli hacker criminali
    Di Redazione RHC - 30/08/2025

    Google è pronta ad adottare una posizione più proattiva per proteggere se stessa e potenzialmente altre organizzazioni statunitensi dagli attacchi informatici, con l’azienda che suggerisce di pote...

    Una exploit Zero-Click per WhatsApp consentiva la sorveglianza remota. Meta avvisa le vittime
    Di Redazione RHC - 30/08/2025

    Una falla di sicurezza nelle app di messaggistica di WhatsApp per Apple iOS e macOS è stata sanata, come riferito dalla stessa società, dopo essere stata probabilmente sfruttata su larga scala insie...