[English readers: you can find English links in this post for your convenience]

In occasione dell’imminente evento di sicurezza Black Hat 2010, Microsoft ha annunciato una evoluzione del modello di disclosure delle vulnerabilità che intende adottare per sé e proporre all’intera comunità dei ricercatori di sicurezza:

MSRC Blog: Announcing Coordinated Vulnerability Disclosure

MSRC Ecosystem Strategy Team Blog: Coordinated Vulnerability Disclosure: Bringing Balance to the Force

E’ un cambio importante, che giunge per coincidenza nel bel mezzo delle discussioni accese scatenate dalla recente e controversa pubblicazione della vulnerabilità sul componente di Help and Support center di Windows (che ricordo essere stata corretta dal bollettino MS10-042 rilasciato lo scorso 13 luglio).

Cosa cambia nella “Coordinated Vulnerability Disclosure (CVD)” rispetto alla precedente politica, la ben nota “Responsible Disclosure”? Se il punto di partenza rimane comunque quello, cioè di credere nel valore della comunicazione privata dei dettagli di una vulnerabilità verso il rispettivo vendor che è indubbiamente nella migliore posizione di realizzare il miglior aggiornamento che tuteli la sicurezza del cliente e la compatibilità verso le sue applicazioni, ci sono alcune novità che vi sottolineo:

• si prevede la possibilità di diversi intermediari a cui comunicare le informazioni sulle vulnerabilità, che possano a loro volta comunicarle in modo privato al vendor: in questo modo il ricercatore può interagire con l’interlocutore di cui ha più fiducia, e non necessariamente solo con il vendor.
• nel caso il vendor non risponda, si suggerisce di operare per quanto possibile una pubblicazione limitata della vulnerabilità tramite un Security Advisory, con pochi dettagli e nessun PoC, ma corredato di mitigazioni e workaround, piuttosto che decidere di operare una Full Disclosure.
• si prevede (è la novità di maggior rilievo) che in caso di attacchi attivi vi possano essere delle pubblicazioni di informazioni sulle vulnerabilità, ma sempre caratterizzate da un accordo tra le parti e tese alle indicazioni di protezione per gli utenti.

Si potrebbe obiettare che l’approccio non cambi poi molto e che si stia accettando la situazione che si osserva nei fatti.

Personalmente invece posso dirvi che condivido questo riequilibrio e i criteri che sono alla base di questa evoluzione: vedo una sorta di azione di controllo reciproco. Da un lato si riconosce il valore e il contributo portato dalla comunità dei ricercatori di sicurezza che scovano le vulnerabilità, riequilibrando il peso di questi attori rispetto ai vendor: la loro presenza stimola i vendor a non adagiarsi sugli allori, e a darsi da fare per produrre nel modo più veloce possibile gli aggiornamenti migliori possibili. Dall’altro tutta la comunità di sicurezza che ruota intorno al meccanismo di scoperta e condivisione delle vulnerabilità (scopritori e intermediari) è chiamata ad un’azione di corresponsabilità nei confronti della tutela della sicurezza degli utenti da cui nessuno può tirarsi fuori.

Comunicare dettagli per aiutare gli utenti a proteggersi ha un senso sacrosanto, farlo in modo da farsi pubblicità e causare l’aumento di attacchi era, e a mio personale parere rimane, un atto irresponsabile.

Come potete notare dal post del team di Ecosystem Strategy, questa nuova politica ha trovato diversi riscontri positivi nella comunità di sicurezza: voi cosa ne pensate?

Feliciano

Other related posts/resources:

• Miei post su Responsible/full disclosure
• [EN] Microsoft Security Response Center (MSRC) Web Portal
• [EN] How to Report a Vulnerability to the MSRC
• [EN] MSRC Blog
• [EN] MSRC Ecosystem Strategy Team Blog
• [EN] @MSFTSecResponse