hit counter
E’ giusto pagare in denaro chi scopre le vulnerabilità? - NonSoloSecurity Blog di Feliciano Intini - Site Home - TechNet Blogs

NonSoloSecurity Blog di Feliciano Intini

Notizie, best practice, strategie ed innovazioni di Sicurezza (e non solo) su tecnologia Microsoft

E’ giusto pagare in denaro chi scopre le vulnerabilità?

E’ giusto pagare in denaro chi scopre le vulnerabilità?

  • Comments 11
  • Likes

[English readers: you can find English links in this post for your convenience]

In scia con l’annuncio sul cambio di policy verso il Coordinated Vulnerability Disclosure (CVD), il MSRC ha postato un importante riflessione a tutto tondo su diversi aspetti “caldi” della gestione delle vulnerabilità: l’approccio alla risoluzione, la gestione della complessità, il time-to-fix, la collaborazione con la comunità dei ricercatori di sicurezza. Una lettura da non perdere per comprendere la logica che guida le scelte di Microsoft sul tema:

MSRC Blog: Black Hat 2010

Tra le diverse considerazioni fa capolino la risposta di Microsoft alla domanda sempre più pressante che si è osservata in quest’ultimo periodo: è giusto pagare in denaro chi scopre le vulnerabilità, come già alcuni vendor (Google & Mozilla, per esempio) hanno iniziato a fare?

La risposta che traspare dal post precedente è che Microsoft non intende pagare in denaro ma sicuramente ricompensare in altri modi la comunità dei ricercatori di sicurezza per questa importante collaborazione.

Personalmente avevo già iniziato a riflettere diversi giorni fa sull’argomento, quando avevo visto la dichiarazione della società Vupen Security che non intendeva rilasciare più a Microsoft le informazioni sulle vulnerabilità scoperte in modo gratuito, ma solo a patto del riconoscimento di un premio in denaro. E’ stato proprio quell’approccio a farmi iniziare a pendere a sfavore dei cosiddetti “bug bounty programs”: finché lo fa la società di ricerca di sicurezza con buona reputazione, reclamando la ricompensa come contributo allo sforzo operativo di trovare le vulnerabilità, credo che possa essere una richiesta legittima.

Ma pensiamo un attimo allo scenario che si verrebbe a creare con la “liberalizzazione” del mercato delle vulnerabilità: quanto l’ecosistema sarebbe in grado di mantenerlo un mercato virtuoso, e quanto sarebbe invece alto il rischio di vederlo viziare dalle dinamiche tipiche indotte dalla legge della domanda e dell’offerta? D’altra parte il mercato nero delle vulnerabilità è gia purtroppo molto attivo e lucroso: “liberalizzare” servirebbe a ridurre quel fenomeno underground? Non credo.

Ci sono diverse opinioni sull’argomento,

chi è a favore, come in alcuni interventi qui: “Microsoft: No money for bugs

e chi dice che non ci sarebbero significativi benefici per gli utenti “Google and Mozilla bug bounties don't buy much more security

Voi come la pensate? (… ma non mi fate la facile battutaccia che Microsoft non intende pagare per paura di dissanguarsi Smile, lo sapete ormai tutti che non è la prima in cima alla lista: “Apple the new world leader in software insecurityWinking smile)

Feliciano

Other related posts/resources:

Comments
  • Se tracciamo un parallelo con un'altra attività illegale, lo spaccio di stupefacenti, i pochi esperimenti di liberalizzazione del mercato hanno prodotto un deciso CALO dell' attività criminale perchè non più renumerativa...

    P.S. è facile parlare di pagare in fondo non sono soldi miei... ;)

  • @luciano: credi davvero? Io non sono così sicuro, e inoltre ci sarebbe una dinamica che rende difficile il parallelo: diversamente dagli stupefacenti, una vulnerabilità potrebbe avere un valore economico diverso a seconda delle intenzioni di chi le vuole comprare, e si potrebbe generare un mercato al rialzo preoccupante..  

  • In effetti non ci avevo pensato... avevo letto varie notizie sulla ricompensa in denaro a chi trova un bug o un problema di sicurezza grave nei software e mi sembrava un buon esempio da seguire...

    Poi il tuo post mi ha fatto riflettere... Se vogliamo, a pensarla PROPRIO MALE... alcuni programmatori senza scrupoli, potrebbero mettere in circolazione software con già un "buco" ben nascosto e poi "vendere" a qualcuno la soluzione per riparare quel buco, guadagnandoci 2 volte...

    Sempre a pensar male lo so, ma come si dice... pensar male è sbagliato, ma la maggior parte delle volte ci si azzecca...

  • @feliciano: Ma ha già un valore sul mercato nero a prescindere da quello che fa microsoft, purtroppo...

    A quel punto penso che la scelta sia: vendere la "scoperta" a microsoft e guadagnarci X oppure metterla sul mercato parallelo e tentare di guadagnare di più, ma con tutta una serie di rischi accessori, tipo e si mi beccano? E se poi non mi pagano? etc. etc.

  • Dalle mie parti esiste un detto popolare: "Santu Mangione è nato prima di Gesù Cristo" (credo non ci sia bisogno di traduzione).

    Ritengo perciò giusta la tua osservazione riguardo la legge della domanda e dell'offerta, considerando anche il fatto che già ora esistono virus messi in circolazione "ad arte".

    Immaginiamo quindi quali scenari si potrebbero venire a creare!!!

    Un caloroso abbraccio.

  • Interessante problema la cui soluzione credo sia ben lungi dall'essere individuata, ma é bene vedere che ci siano vari approcci che cercano di stimolare la ricerca di bachi per aumentare il grado di sicurezza delle applicazioni: anche in questo argomento si agisce per approssimazioni successive e non esiste una soluzione scritta nella pietra.

    Il mercato sotterraneo degli exploit esiste da quando sono state scoperte le prime vulnerabilità: per contrastare questa tendenza, alcuni anni fa è stato sviluppato l'approccio dei "bug bounty programs" non solo dai produttori di software ma anche da società di sicurezza: iDefense, ZDI , iSight, SecuriTeam, Netragard, Wabisabilabi sono i nomi di alcune di esse (sebbene Wabisabilabi abbia chiuso le attività di vulnerabilitz auction l'anno scorso).

    Nonostante sia da alcuni anni che questo tipo di mercato ha una sua reale sostanza, è effettivamente ancora difficile trovare un prezzo equo in grado di definire il valore di una vulnerabilità.

    Ma il punto non riguarda solo il prezzo, ma altri tipi di motivazione che spingono un hacker (nell'accezione corretta del termine, ovvero di colui che cerca, scova, mette le mani dentro, scopre, ecc) ad analizzare un'applicazione e a individuarne le vulnerabilità: tra queste ci sono (in ordine sparso e spesso in alternativa tra loro)  certamente la soddisfazione del riconoscimento, la possibilità di trovare impiego come dipendente o consulente sulla sicurezza e, non ultima, la volontà di aiutare il prossimo ad essere più sicuro. Come dicevo prima, può darsi che un hacker sia spinto da tutti questi motivi o solo da alcuni di essi. Può anche darsi che cerchi vulnerabilità solo e unicamente per ottenerne un vantaggio economico. Si sa, il mondo é bello perché è vario.

    Va da sè, comunque, che il denaro é un ottimo motivatore, per cui credo sia necessario un approccio duale, che costutuisca un bilanciamento tra la soddisfazione economica e il riconoscimento, e che eviti così pericolose derive verso il mercato nero.

    Come dicevo prima, é arduo dare un valore corretto all'individuazione di una vulnerabilità, perchè esistono vari gradi di pericolosità, vari gradi di diffusione della vulnerabilità e vari gradi di semplicità di implementazione di exploit. E' interessante l'approccio di Google e Mozilla che hanno definito un valore di massima della vulnerabilità, che credo sia stato messo in opera per:

    - dare una struttura a una attività sempre più diffusa;

    - evitare le intermediazioni delle società sopra descritte;

    - evitare pericolose derive verso il mercato nero.

    Sebbene condivida i principi del CVD di Microsoft, mi lascia freddo il suo approccio di non retribuire chi trova una vulnerabilità: a questo punto, dal momento che ci sono società disposte a comprare le vulnerabilità e a renderle disponibili al produttore e al pubblico, perchè non fare un favore all'umanità guadagnandoci anche sopra qualcosa?

    Per chi volesse avere qualche altra informazione sulle ricerche accademiche in questo campo consiglio la lettura di alcuni documenti pubblicati alcuni anni fa sull'argomento:

    weis2007.econinfosec.org/papers/29.pdf

    www.andyozment.com/papers/weis04-ozment-bugauc-slides.pdf

    www.systemdynamics.org/conferences/2007/proceed/papers/RADIA352.pdf

  • Grazie Stefano per questo contributo competente e ricco di riferimenti. Approfitto allora per provare ad approfondire un punto che sembra essere differenziante tra l'approccio Microsoft e i vendor che hanno lanciato i bug bounty programs: il ruolo delle società che fanno intermediazioni in questo processo. Se notate, il CVD di Microsoft ammette (prende atto?) che si possano comunicare e vendere le informazioni sulle vulnerabilità agli intermediari: quindi accetta questo ruolo e deputa ad esso la possibilità di instaurare un mercato legittimo delle vulnerabilità. Tu suggerisci che Google e Mozilla possano aver deciso di avviare questi programmi anche per evitare le intermediazioni di tali società: se questo fosse confermato, come si potrebbe motivare questa scelta? Da parte Microsoft posso dire che l'intento, in linea con il suo approccio strategico, è quello di ampliare l'ecosistema di chi lavora sulla sicurezza e di ampliare la rete di collaborazione. L'approccio di Google e Mozilla, nell'escludere gli intermediari, non può essere visto all'opposto come una chiusura e un desiderio di controllo?

  • Per amor di precisione (del quale chiedo venia, ma tant'è) l'articolo citato in fondo al tuo post (Apple the new world leader in software insecurity”) cita al secondo paragrafo:

    "Though this does not necessarily mean that Apple's software is the most insecure in practice"

    Per cui il titolo non é affatto corretto, trattandosi di un articolo che parla del numero di vulnerabilit��, non tanto della sicurezza intrinseca dei prodotti.

    Uno dei punti fondamentali della ricerca di Secunia di cui si parla (la trovate in home page: http://secunia.com/) è il fatto che la minaccia introdotta dalle vulnerabilità dei software di terze parti sia in costante crescita ed è ancora molto ignorata da utenti e aziende, che pensano che sia solo il sistema operativo ad essere attaccato e non installano le patch dei programmi ospitati.

    Lo so, a volte sono petulante ;)

  • @Stefano, la precisione è sempre benvenuta in questo blog :-), e sempre per tale amor di precisione sottolineo che il titolo mi sono limitato a riportarlo, ma non l'ho fatto io ;-), e che l'ho tirato in ballo per avvalorare la mia battuta sul numero di vulnerabilità, che è proprio oggetto del report di Secunia.

  • Feliciano, tu chiedi:

    "L'approccio di Google e Mozilla, nell'escludere gli intermediari, non può essere visto all'opposto come una chiusura e un desiderio di controllo?"

    Stiamo parlando di organizzazioni e aziende con una discreta maturità: io non lo vedo come una chiusura ma come una presa di consapevolezza che l'approccio corretto è di seguire varie strade.

    Penso quindi sia stato condiviso sia da Google sia da Mozilla che non è possibile escludere né gli intermediari che comprano le vulnerabilità, nè il mercato nero, nè il dover far fronte alla "full disclosure" in-the-wild, né il contatto diretto.

    Il tema principale è la sicurezza degli utenti e il passo fatto da Microsoft abbracciando la CVD é sicuramente epocale perché costitusice un'apertura e un riconoscimento all'importanza della comunità dei ricercatori di sicurezza (non che prima non ci fosse, era solo di minore entità).

    Io auspico che lo facciano anche gli altri, come auspico che anche MS introduca il bug bounty.

    Inoltre, i bug bounty non sono fatti per liberalizzare, quanto invece per dare una regolamentazione a un mercato che potenzialmente si potrebbe liberalizzare con la conseguenza che ben dici tu di "vederlo viziare dalle dinamiche tipiche indotte dalla legge della domanda e dell’offerta".

  • Le ultime patch sanate da Google per il suo Chrome sono costate 4.674 dollari... mica da ridere deh!?

    ziogeek.com/google-patchate-5-falle-chrome

Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment