A cosa servono i full disclosure, e perchè sono così utili

A cosa servono i full disclosure, e perchè sono così utili

I full disclosure indicano delle falle informatiche che vengano pubblicamente svelate (ad esempio sulla mailing list di seclists), e sulle quali diventa immediato, o quasi, porre provvedimenti (patch o nuove versioni) da parte degli sviluppatori del codice. Se ad esempio un informatico scoprisse una falla in Facebook, dovrebbe anzitutto informare i suoi sviluppatori e poi, per correttezza verso gli utenti, farlo presente anche a loro perchè usino consapevolmente le tecnologie.

L’approccio full disclosure, per quanto apparentemente inquietante o irresponsabile, si fonda su sei aspetti fondamentali:

  1. rispetta il principio cardine della crittografia “in un sistema crittografico è importante tener segreta la chiave, non l’algoritmo di crittazione“;
  2. se i clienti non sanno nulla delle falle, non potranno richiedere delle patch per risolverle;
  3. se le falle non vengono diffuse pubblicamente, i produttori di software (tipicamente proprietario) non avrebbero alcun incentivo a risolverle;
  4. le informazioni pubbliche sulle falle sono a disposizione dei superuser, perchè possano prendere provvedimenti su iniziativa personale (ed eventualmente metterli a disposizione del pubblico);
  5. le informazioni pubbliche sulle falle sono a disposizione dei ricercatori informatici che volessero testare la robustezza dei sistemi, per evitare abusi sugli utenti, furti di dati e così via;
  6. se non fossero rese pubbliche, un attaccante malevolo potrebbe approfittare della falla segreta (magari scoperta per conto proprio) per un periodo di tempo indiscriminato, oltre che all’insaputa di tutti.

A questa visione si contrappone la cosiddetta STO (Security Thought Obscurity), o sicurezza mediante segretezza, che si basa sul presupposto che si possa tenere al sicuro un sistema (un CMS, un blog, un forum come una qualsiasi altra applicazione per desktop, cellulari o mainframe) tenendone all’oscuro del suo funzionamento il pubblico. La riservatezza dell’implementazione, secondo questo approccio, impedirebbe già da solo di evitare falle informatiche: ma se fosse vero tutti i sistemi software proprietari dovrebbero essere al sicuro da attacchi, quando sappiamo bene che non è così (Skype, Linkedin).

vigenere-breakerIl vecchio principio di Kerckhoffs per la crittografia si contrappone, del resto, a questo modo di ragionare, sostenendo che “in un sistema crittografico è importante tener segreta la chiave, non l’algoritmo di crittazione“: facendo un parallelo comprensibile, non è occultando i manuali di manutenzione, costruzione e realizzazione delle serrature che si potrà vivere più sicuri, bensì proteggendo ed evitando di farsi clonare la propria chiave di casa. Lo stesso discorso, per estensione, potrebbe valere per il PIN del bancomat, per la password di accesso alla mail oppure ad un sito e via dicendo.

Esistono delle varianti intermedie a questi due estremi, ovvero la cosiddetta coordinated disclosure (detta gentilmente “disclosure responsabile” dalla Microsoft), che rivendica il diritto dei proprietari di un software di controllare le informazioni sulle vulnerabilità dei propri prodotti. Per quanto possa sembrare un approccio valido, è piuttosto complesso da applicare nella realtà, perchè presuppone che tutti gli utenti siano d’accordo con esso a prescindere, quando la realtà è molto differente e, non a caso, la stessa Microsoft arrivò a definire – esasperata, evidentemente – “information anarchy” le rivelazioni indiscriminate e pubbliche di falle informatiche del loro sistema operativo (fonte). La diffusione di analisi delle vulnerabilità dei software, senza alcuna restrinzione, ha lo scopo di diffondere le informazioni in modo da proteggere al massimo le altrimenti inconsapevoli vittime.

Ti piace questo articolo?

0 voti

Su Trovalost.it puntiamo sulla qualità dei contenuti da quando siamo nati: la tua sincera valutazione può aiutarci a migliorare ogni giorno.

Ti potrebbero interessare (Sicurezza informatica):

Cerca altro nel sito

Clicca sul box, e scegli la sezione per vederne i contenuti.

A cosa servono i full disclosure, e perchè sono così utili

I full disclosure indicano delle falle informatiche che vengano pubblicamente …
[ 0 ] 0 utenti hanno votato questa pagina