Security Notes

Bug Bounty e Open Source

Web bug

Forse non tutti conoscono i Program. Un Bug Bounty è una specie di concorso a premi indetto da una azienda di software, aperto a tutti, consistente nel trovare bachi (bug) nei prodotti e nel comunicarli al produttore. Se la notifica viene valutata positivamente, ovvero, se viene verificato che effettivamente è stata trovata una vulnerabilità od un exploit, il cacciatore viene premiato in vari modi: denaro, gadget, sconti ed il suo nome viene aggiunto alla “All of Fame”pubblicata nel sito dell’azienda in questione.
Quasi tutte le aziende di software sfruttano questo metodo per avere, praticamente a costo zero, un gran numero di analisti e specialisti di a spulciare programmi e cercare falle nei propri prodotti.

Web bugInsomma, si potrebbe dire che le aziende produttrici di software proprietario si sono accorte che tanti occhi vedono meglio di pochi.
Aspetta un momento, ho già sentito questa frase…
Ma certo! É una delle frasi famose relative all’ software! In realtà la citazione originale sarebbe “Dato un numero sufficiente di occhi, tutti i bug vengono a galla” ed è contenuta nel testo “la cattedrale ed il bazaar” di Eric Raymond, nel quale si può anche leggere “Con molti occhi puntati addosso, ogni bug diventa una bazzecola”.

Si può quindi individuare un parallelo fra la teoria del bazar e i programmi di ricerca di falle nei programmi basati sulla attività non ufficiale della gran  massa di esperti, ricercatori, appassionati che gratuitamente, giornalmente, analizzano programmi ed applicazioni.

Certo, non esistono solo i bravi ragazzi che una volta trovata una vulnerabilità si precipitano ad avvisare il produttore, anzi. Il mercato degli 0-Day è vivo e vegeto e si alimenta giornalmente con nuove offerte.
Una volta individuata e verificata in laboratorio una falla, coloro che seguono il lato oscuro della forza, possono scegliere di vendere la vulnerabilità, creare uno 0-Day od effettuare una “full disclosure”.
Se si sceglie di effettuare una “full disclosure”, tutte le informazioni relative alla vulnerabilità individuata vengono rese di pubblico dominio, in genere attraverso servizi o mailing list specializzate e spesso anonime.
Chi si occupa di sicurezza dal lato buono della forza segue quella che è definita “responsible disclosure”.
La “responsible disclosure” prevede che venga contattata l’azienda produttrice che potrà o meno rispondere (eh già, potrebbe anche non rispondere) e confermare al cacciatore la vulnerabilità,   premiandolo in qualche modo. Il ricercatore/cacciatore accetta di non divulgare alcuna informazione fino a quando l’azienda non abbia realizzato una patch o comunque analizzato e chiuso il problema.
Una volta giunti a questo punto,  le informazioni possono essere liberamente pubblicate ed il ricercatore/cacciatore ha il suo momento di gloria. Se invece, a giudizio del ricercatore, trascorre un lasso di tempo troppo lungo senza risposta o se la risposta dell’azienda è negativa, spesso si sceglie di rilasciare le informazioni in full-disclosure.
La scelta di pubblicare comunque le informazioni sulla vulnerabilità sono dettate dalla coscienza personale ma in genere i motivi addotti sono due: dimostrare all’azienda il suo “errore” nel non considerare importante la sicurezza dei propri prodotti e rendere consapevoli gli utilizzatori del problema sapendo bene che esiste la possibilità che esista già un exploit o 0-day che sfrutta quella specifica falla.
E’ ovvio che si tratta di una scelta che comporta la possibilità che qualcuno sfrutti le informazioni pubblicate per crearsi il proprio exploit, è un rischio.

Un vantaggio nello sfruttare il supporto delle comunità e della filosofia propria del movimento Free Software / Open Source esiste, se è vero come è vero che diversi bug sono stati scoperti e risolti  in   anche grazie alla Security Challenge indetta dall’azienda ed il cui vincitore sarà proclamato il prossimo 30 novembre.

Ecco un paio di esempi relativi a  Magento. La persistent filename vulnerability individuata verso metà agosto e fixata ai primi di settembre od ancora più recentemente la Multiple CSRF Web Vulnerabilities, scoperta a fine settembre, fixata e rilasciata al pubblico dominio pochi giorni fa.

Come potete vedere, c’è un preciso percorso che viene seguito dal momento della scoperta della vulnerabilità a quello della pubblicazione ufficiale ed a volte passa molto tempo prima della disclosure ufficiale per la necessità di verificare il problema e trovare la soluzione.

Sia come sia, alla fine il problema rimane sempre lo stesso. Non esiste un software sicuro al 100% ed è obbligatorio che le patch e gli aggiornamenti rilasciate via via dai produttori siano applicate tempestivamente.

Ricordate però che è buona norma testare in un ambiente sicuro, appositamente predisposto, tutte le modifiche prima di applicarle al sistema in produzione.
Dimenticare o semplicemente non adottare questa precauzione per pigrizia o per risparmiare potrebbe portare a gravi conseguenze come alcune recenti esperienze hanno dimostrato.

 

 

Paolo Giardini

Paolo Giardini

Paolo “aspy” Giardini, direttore di OPSI, Osservatorio Nazionale Privacy e Sicurezza Informatica, organo di AIP (Associazione Informatici Professionisti, per la quale ricopre anche l’incarico di Privacy Officer) si occupa da oltre venti anni di Sicurezza Informatica, Privacy, Computer Forensics ed Open Source, svolgendo attività di analisi e consulenza e tenendo corsi e seminari in Italia ed all’estero.
Svolge attività di Consulente Tecnico di parte (CTP) e di Consulente Tecnico d’Ufficio (CTU) presso diverse Procure della Repubblica e Tribunali. Nel tempo libero si dedica alla organizzazione dell’hacker game che ha creato, “CAT – Cracca Al Tesoro”.

Clicca per commentare

Commenti e reazioni su:

Loading Facebook Comments ...

Lascia una replica

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

No Trackbacks.

TechEconomy è il portale di informazione dedicato a manager, imprenditori e professionisti che vogliono approfondire e comprendere l’impatto delle tecnologie nello sviluppo del business nelle PMI come nell’industria, nella finanza, nei servizi.
Si rivolge insomma a tutti coloro che vogliono capire come le nuove realtà dell'Information Technology - Web 2.0, e-Business, net economy - stiano cambiando l’economia, e con essa la società.
Inizio
Shares
Share This