Il vero significato di full disclosure in informatica

Cosa sono i full disclosure?

I full disclosure indicano delle falle informatiche che vengano pubblicamente rivelate, e sulle quali diventa automatico, almeno nel caso di software open source (ovvero con codice sorgente pubblico), porre provvedimenti che siano patch o nuove versioni da parte degli sviluppatori dello stesso. Se ad esempio un informatico scoprisse una falla in un famoso sito, dovrebbe informare i suoi sviluppatori e poi, per correttezza verso gli utenti, farlo presente anche a loro perchè usino consapevolmente le tecnologie.

Basi teoriche della full disclosure

Il vecchio principio di Kerckhoffs per la crittografia si contrappone, del resto, a questo modo di ragionare, sostenendo che “in un sistema crittografico è importante tener segreta la chiave, non l’algoritmo di crittazione“: facendo un parallelo comprensibile, non è occultando i manuali di manutenzione, costruzione e realizzazione delle serrature che si potrà  vivere più sicuri, bensଠproteggendo ed evitando di farsi clonare la propria chiave di casa. Lo stesso discorso, per estensione, potrebbe valere per il PIN del bancomat, per la password di accesso alla mail oppure ad un sito e via dicendo.

Dove si pubblicano i full disclosure?

I full disclosure vengono in genere pubblicati sulla mailing list ufficiale di seclists.

Perchè full disclosure sono utili?

A sentirla cosଠsembra che i disclosure pubblici siano più un pericolo, una “mina vagante” che potrebbe rendere insicuro usare qualsiasi sito; in realtà  è l’esatto contrario.  L’approccio full disclosure, per quanto in apparenza inquietante o irresponsabile, si fonda su sei aspetti fondamentali che ne caratterizza l’efficienza funzionale:

1. è coerente e logico, perchè rispetta il principio cardine della crittografia “in un sistema crittografico è importante tener segreta la chiave, non l’algoritmo di crittazione“;
2. è utile per tutti, perchè se gli utilizzatori e i programmatori di un sito o di un software non sanno nulla delle falle di sicurezza, non potranno richiedere delle patch per risolverle;
3. se le falle non vengono diffuse pubblicamente, i produttori di software (ad esempio proprietario) non avrebbero alcun incentivo a risolverle;
4. le informazioni pubbliche sulle falle sono anche a disposizione dei superuser, perchè possano prendere provvedimenti su iniziativa personale (ed eventualmente metterli a disposizione del pubblico);
5. le informazioni pubbliche sulle falle sono a disposizione dei ricercatori informatici che volessero testare la robustezza dei sistemi, per evitare abusi sugli utenti, furti di dati e cosଠvia;
6. se non fossero rese pubbliche, un attaccante malevolo potrebbe approfittare della falla segreta (magari scoperta per conto proprio) per un periodo di tempo indiscriminato, oltre che all’insaputa di tutti.

Cosa vuol dire Security Thought Obscurity?

La pubblicazione dei full disclosure, in genere, manda nel panico circa la metà  degli informatici mondiali, e non è vista di buon occhio da alcune aziende tra cui, ad esempio, Apple (che la considerano un pericolo: secondo loro le falle andrebbero trattate e discusse solo in sede privata, ma questo purtroppo non sembra troppo realistico da realizzare).

A questa visione oOpen” si contrappone la cosiddetta STO (Security Thought Obscurity), o sicurezza mediante segretezza, che si basa sul presupposto che si possa tenere al sicuro un sistema (un CMS, un blog, un forum come una qualsiasi altra applicazione per desktop, cellulari o mainframe) tenendone all’oscuro del suo funzionamento il pubblico.

La riservatezza dell’implementazione, secondo questo approccio, impedirebbe già  da solo di evitare falle informatiche: ma se fosse vero, tutti i sistemi software proprietari dovrebbero essere al sicuro da attacchi, quando sappiamo che purtroppo non è affatto cosà¬.

Le vie di mezzo: coordinated disclosure

Esistono delle varianti intermedie a questi due estremi, ovvero la cosiddetta coordinated disclosure (detta gentilmente “disclosure responsabile” dalla Microsoft), che rivendica il diritto dei proprietari di un software di controllare le informazioni sulle vulnerabilità  dei propri prodotti. Per quanto possa sembrare un approccio valido, è piuttosto complesso da applicare nella realtà , perchè presuppone che tutti gli utenti siano d’accordo con esso a prescindere, quando la realtà  è molto differente e, non a caso, la stessa Microsoft arrivò a definire – esasperata, evidentemente – “information anarchy” le rivelazioni indiscriminate e pubbliche di falle informatiche del loro sistema operativo (fonte). La diffusione di analisi delle vulnerabilità  dei software, senza alcuna restrinzione, ha lo scopo di diffondere le informazioni in modo da proteggere al massimo le altrimenti inconsapevoli vittime.

Da non perdere 👇👇👇

• 🔒 Conosci meglio privacy e diritti digitali
• 👩‍💻 Impara a programmare in Python, C++, PHP
• 💻 Configura hosting e domini
• 📊 Tutto sui database
• 🛠️ Approfondisci le nuove tecnologie
• 🎮 Esplora la sezione retrogame
• 👀 Guarda i migliori servizi in offerta
• 🏁 Usa al meglio Excel
• 💬 Il nostro canale Telegram: iscriviti
• 🤩 Guida: come usare le macro in Excel (con esempi)
• 🤯 Come si calcola la probabilità (metodo generale)
• 😬 Rischi associati all’acquisto e riuso di domini “usati”