E’ giusto pagare in denaro chi scopre le vulnerabilità?

re: E’ giusto pagare in denaro chi scopre le vulnerabilità?

Patrick — Thu, 29 Jul 2010 14:36:39 GMT

Le ultime patch sanate da Google per il suo Chrome sono costate 4.674 dollari... mica da ridere deh!?

ziogeek.com/google-patchate-5-falle-chrome

re: E’ giusto pagare in denaro chi scopre le vulnerabilità?

stefano — Wed, 28 Jul 2010 09:14:25 GMT

Feliciano, tu chiedi:

"L'approccio di Google e Mozilla, nell'escludere gli intermediari, non può essere visto all'opposto come una chiusura e un desiderio di controllo?"

Stiamo parlando di organizzazioni e aziende con una discreta maturità: io non lo vedo come una chiusura ma come una presa di consapevolezza che l'approccio corretto è di seguire varie strade.

Penso quindi sia stato condiviso sia da Google sia da Mozilla che non è possibile escludere né gli intermediari che comprano le vulnerabilità, nè il mercato nero, nè il dover far fronte alla "full disclosure" in-the-wild, né il contatto diretto.

Il tema principale è la sicurezza degli utenti e il passo fatto da Microsoft abbracciando la CVD é sicuramente epocale perché costitusice un'apertura e un riconoscimento all'importanza della comunità dei ricercatori di sicurezza (non che prima non ci fosse, era solo di minore entità).

Io auspico che lo facciano anche gli altri, come auspico che anche MS introduca il bug bounty.

Inoltre, i bug bounty non sono fatti per liberalizzare, quanto invece per dare una regolamentazione a un mercato che potenzialmente si potrebbe liberalizzare con la conseguenza che ben dici tu di "vederlo viziare dalle dinamiche tipiche indotte dalla legge della domanda e dell’offerta".

re: E’ giusto pagare in denaro chi scopre le vulnerabilità?

Feliciano Intini — Wed, 28 Jul 2010 09:03:35 GMT

@Stefano, la precisione è sempre benvenuta in questo blog :-), e sempre per tale amor di precisione sottolineo che il titolo mi sono limitato a riportarlo, ma non l'ho fatto io ;-), e che l'ho tirato in ballo per avvalorare la mia battuta sul numero di vulnerabilità, che è proprio oggetto del report di Secunia.

re: E’ giusto pagare in denaro chi scopre le vulnerabilità?

stefano — Wed, 28 Jul 2010 08:51:36 GMT

Per amor di precisione (del quale chiedo venia, ma tant'è) l'articolo citato in fondo al tuo post (Apple the new world leader in software insecurity”) cita al secondo paragrafo:

"Though this does not necessarily mean that Apple's software is the most insecure in practice"

Per cui il titolo non é affatto corretto, trattandosi di un articolo che parla del numero di vulnerabilità, non tanto della sicurezza intrinseca dei prodotti.

Uno dei punti fondamentali della ricerca di Secunia di cui si parla (la trovate in home page: http://secunia.com/) è il fatto che la minaccia introdotta dalle vulnerabilità dei software di terze parti sia in costante crescita ed è ancora molto ignorata da utenti e aziende, che pensano che sia solo il sistema operativo ad essere attaccato e non installano le patch dei programmi ospitati.

Lo so, a volte sono petulante ;)

re: E’ giusto pagare in denaro chi scopre le vulnerabilità?

Feliciano Intini — Wed, 28 Jul 2010 08:50:49 GMT

Grazie Stefano per questo contributo competente e ricco di riferimenti. Approfitto allora per provare ad approfondire un punto che sembra essere differenziante tra l'approccio Microsoft e i vendor che hanno lanciato i bug bounty programs: il ruolo delle società che fanno intermediazioni in questo processo. Se notate, il CVD di Microsoft ammette (prende atto?) che si possano comunicare e vendere le informazioni sulle vulnerabilità agli intermediari: quindi accetta questo ruolo e deputa ad esso la possibilità di instaurare un mercato legittimo delle vulnerabilità. Tu suggerisci che Google e Mozilla possano aver deciso di avviare questi programmi anche per evitare le intermediazioni di tali società: se questo fosse confermato, come si potrebbe motivare questa scelta? Da parte Microsoft posso dire che l'intento, in linea con il suo approccio strategico, è quello di ampliare l'ecosistema di chi lavora sulla sicurezza e di ampliare la rete di collaborazione. L'approccio di Google e Mozilla, nell'escludere gli intermediari, non può essere visto all'opposto come una chiusura e un desiderio di controllo?

re: E’ giusto pagare in denaro chi scopre le vulnerabilità?

Stefano Bonacina — Wed, 28 Jul 2010 08:12:21 GMT

Interessante problema la cui soluzione credo sia ben lungi dall'essere individuata, ma é bene vedere che ci siano vari approcci che cercano di stimolare la ricerca di bachi per aumentare il grado di sicurezza delle applicazioni: anche in questo argomento si agisce per approssimazioni successive e non esiste una soluzione scritta nella pietra.

Il mercato sotterraneo degli exploit esiste da quando sono state scoperte le prime vulnerabilità: per contrastare questa tendenza, alcuni anni fa è stato sviluppato l'approccio dei "bug bounty programs" non solo dai produttori di software ma anche da società di sicurezza: iDefense, ZDI , iSight, SecuriTeam, Netragard, Wabisabilabi sono i nomi di alcune di esse (sebbene Wabisabilabi abbia chiuso le attività di vulnerabilitz auction l'anno scorso).

Nonostante sia da alcuni anni che questo tipo di mercato ha una sua reale sostanza, è effettivamente ancora difficile trovare un prezzo equo in grado di definire il valore di una vulnerabilità.

Ma il punto non riguarda solo il prezzo, ma altri tipi di motivazione che spingono un hacker (nell'accezione corretta del termine, ovvero di colui che cerca, scova, mette le mani dentro, scopre, ecc) ad analizzare un'applicazione e a individuarne le vulnerabilità: tra queste ci sono (in ordine sparso e spesso in alternativa tra loro) certamente la soddisfazione del riconoscimento, la possibilità di trovare impiego come dipendente o consulente sulla sicurezza e, non ultima, la volontà di aiutare il prossimo ad essere più sicuro. Come dicevo prima, può darsi che un hacker sia spinto da tutti questi motivi o solo da alcuni di essi. Può anche darsi che cerchi vulnerabilità solo e unicamente per ottenerne un vantaggio economico. Si sa, il mondo é bello perché è vario.

Va da sè, comunque, che il denaro é un ottimo motivatore, per cui credo sia necessario un approccio duale, che costutuisca un bilanciamento tra la soddisfazione economica e il riconoscimento, e che eviti così pericolose derive verso il mercato nero.

Come dicevo prima, é arduo dare un valore corretto all'individuazione di una vulnerabilità, perchè esistono vari gradi di pericolosità, vari gradi di diffusione della vulnerabilità e vari gradi di semplicità di implementazione di exploit. E' interessante l'approccio di Google e Mozilla che hanno definito un valore di massima della vulnerabilità, che credo sia stato messo in opera per:

- dare una struttura a una attività sempre più diffusa;

- evitare le intermediazioni delle società sopra descritte;

- evitare pericolose derive verso il mercato nero.

Sebbene condivida i principi del CVD di Microsoft, mi lascia freddo il suo approccio di non retribuire chi trova una vulnerabilità: a questo punto, dal momento che ci sono società disposte a comprare le vulnerabilità e a renderle disponibili al produttore e al pubblico, perchè non fare un favore all'umanità guadagnandoci anche sopra qualcosa?

Per chi volesse avere qualche altra informazione sulle ricerche accademiche in questo campo consiglio la lettura di alcuni documenti pubblicati alcuni anni fa sull'argomento:

weis2007.econinfosec.org/papers/29.pdf

www.andyozment.com/papers/weis04-ozment-bugauc-slides.pdf

www.systemdynamics.org/conferences/2007/proceed/papers/RADIA352.pdf

re: E’ giusto pagare in denaro chi scopre le vulnerabilità?

poohlover63 — Tue, 27 Jul 2010 17:58:50 GMT

Dalle mie parti esiste un detto popolare: "Santu Mangione è nato prima di Gesù Cristo" (credo non ci sia bisogno di traduzione).

Ritengo perciò giusta la tua osservazione riguardo la legge della domanda e dell'offerta, considerando anche il fatto che già ora esistono virus messi in circolazione "ad arte".

Immaginiamo quindi quali scenari si potrebbero venire a creare!!!

Un caloroso abbraccio.

re: E’ giusto pagare in denaro chi scopre le vulnerabilità?

luciano — Tue, 27 Jul 2010 15:55:04 GMT

@feliciano: Ma ha già un valore sul mercato nero a prescindere da quello che fa microsoft, purtroppo...

A quel punto penso che la scelta sia: vendere la "scoperta" a microsoft e guadagnarci X oppure metterla sul mercato parallelo e tentare di guadagnare di più, ma con tutta una serie di rischi accessori, tipo e si mi beccano? E se poi non mi pagano? etc. etc.

re: E’ giusto pagare in denaro chi scopre le vulnerabilità?

Patrick — Tue, 27 Jul 2010 14:42:17 GMT

In effetti non ci avevo pensato... avevo letto varie notizie sulla ricompensa in denaro a chi trova un bug o un problema di sicurezza grave nei software e mi sembrava un buon esempio da seguire...

Poi il tuo post mi ha fatto riflettere... Se vogliamo, a pensarla PROPRIO MALE... alcuni programmatori senza scrupoli, potrebbero mettere in circolazione software con già un "buco" ben nascosto e poi "vendere" a qualcuno la soluzione per riparare quel buco, guadagnandoci 2 volte...

Sempre a pensar male lo so, ma come si dice... pensar male è sbagliato, ma la maggior parte delle volte ci si azzecca...

re: E’ giusto pagare in denaro chi scopre le vulnerabilità?

Feliciano Intini — Tue, 27 Jul 2010 14:30:10 GMT

@luciano: credi davvero? Io non sono così sicuro, e inoltre ci sarebbe una dinamica che rende difficile il parallelo: diversamente dagli stupefacenti, una vulnerabilità potrebbe avere un valore economico diverso a seconda delle intenzioni di chi le vuole comprare, e si potrebbe generare un mercato al rialzo preoccupante..