Il vero significato di full disclosure in informatica

Il vero significato di full disclosure in informatica

Cosa sono i full disclosure?

I full disclosure indicano delle falle informatiche che vengano pubblicamente rivelate, e sulle quali diventa automatico, almeno nel caso di software open source (ovvero con codice sorgente pubblico), porre provvedimenti che siano patch o nuove versioni da parte degli sviluppatori dello stesso. Se ad esempio un informatico scoprisse una falla in un famoso sito, dovrebbe informare i suoi sviluppatori e poi, per correttezza verso gli utenti, farlo presente anche a loro perchè usino consapevolmente le tecnologie.

Basi teoriche della full disclosure

vigenere-breaker

Il vecchio principio di Kerckhoffs per la crittografia si contrappone, del resto, a questo modo di ragionare, sostenendo che “in un sistema crittografico è importante tener segreta la chiave, non l’algoritmo di crittazione“: facendo un parallelo comprensibile, non è occultando i manuali di manutenzione, costruzione e realizzazione delle serrature che si potrà vivere più sicuri, bensì proteggendo ed evitando di farsi clonare la propria chiave di casa. Lo stesso discorso, per estensione, potrebbe valere per il PIN del bancomat, per la password di accesso alla mail oppure ad un sito e via dicendo.

Dove si pubblicano i full disclosure?

I full disclosure vengono in genere pubblicati sulla mailing list ufficiale di seclists.

Perchè full disclosure sono utili?

A sentirla così sembra che i disclosure pubblici siano più un pericolo, una “mina vagante” che potrebbe rendere insicuro usare qualsiasi sito; in realtà è l’esatto contrario.  L’approccio full disclosure, per quanto in apparenza inquietante o irresponsabile, si fonda su sei aspetti fondamentali che ne caratterizza l’efficienza funzionale:

  1. è coerente e logico, perchè rispetta il principio cardine della crittografia “in un sistema crittografico è importante tener segreta la chiave, non l’algoritmo di crittazione“;
  2. è utile per tutti, perchè se gli utilizzatori e i programmatori di un sito o di un software non sanno nulla delle falle di sicurezza, non potranno richiedere delle patch per risolverle;
  3. se le falle non vengono diffuse pubblicamente, i produttori di software (ad esempio proprietario) non avrebbero alcun incentivo a risolverle;
  4. le informazioni pubbliche sulle falle sono anche a disposizione dei superuser, perchè possano prendere provvedimenti su iniziativa personale (ed eventualmente metterli a disposizione del pubblico);
  5. le informazioni pubbliche sulle falle sono a disposizione dei ricercatori informatici che volessero testare la robustezza dei sistemi, per evitare abusi sugli utenti, furti di dati e così via;
  6. se non fossero rese pubbliche, un attaccante malevolo potrebbe approfittare della falla segreta (magari scoperta per conto proprio) per un periodo di tempo indiscriminato, oltre che all’insaputa di tutti.

Cosa vuol dire Security Thought Obscurity?

La pubblicazione dei full disclosure, in genere, manda nel panico circa la metà degli informatici mondiali, e non è vista di buon occhio da alcune aziende tra cui, ad esempio, Apple (che la considerano un pericolo: secondo loro le falle andrebbero trattate e discusse solo in sede privata, ma questo purtroppo non sembra troppo realistico da realizzare).

A questa visione oOpen” si contrappone la cosiddetta STO (Security Thought Obscurity), o sicurezza mediante segretezza, che si basa sul presupposto che si possa tenere al sicuro un sistema (un CMS, un blog, un forum come una qualsiasi altra applicazione per desktop, cellulari o mainframe) tenendone all’oscuro del suo funzionamento il pubblico.

La riservatezza dell’implementazione, secondo questo approccio, impedirebbe già da solo di evitare falle informatiche: ma se fosse vero, tutti i sistemi software proprietari dovrebbero essere al sicuro da attacchi, quando sappiamo che purtroppo non è affatto così.

Le vie di mezzo: coordinated disclosure

Esistono delle varianti intermedie a questi due estremi, ovvero la cosiddetta coordinated disclosure (detta gentilmente “disclosure responsabile” dalla Microsoft), che rivendica il diritto dei proprietari di un software di controllare le informazioni sulle vulnerabilità dei propri prodotti. Per quanto possa sembrare un approccio valido, è piuttosto complesso da applicare nella realtà, perchè presuppone che tutti gli utenti siano d’accordo con esso a prescindere, quando la realtà è molto differente e, non a caso, la stessa Microsoft arrivò a definire – esasperata, evidentemente – “information anarchy” le rivelazioni indiscriminate e pubbliche di falle informatiche del loro sistema operativo (fonte). La diffusione di analisi delle vulnerabilità dei software, senza alcuna restrinzione, ha lo scopo di diffondere le informazioni in modo da proteggere al massimo le altrimenti inconsapevoli vittime.

1 voto


Informazioni sull'autore

Salvatore Capolupo

Consulente SEO, ingegnere informatico e fondatore di Trovalost.it, Pagare.online, Lipercubo.it e tanti altri. Di solito passo inosservato e non ne approfitto.