hit counter
24 June 2008

A proposito di responsible o full disclosure: la prima vulnerabilità di Firefox 3 e il nuovo trojan per Mac OS X

A ruota rispetto al post precedente in cui ho preso spunto da una vulnerabilità di Adobe, vorrei approfittare di altre due problematiche di sicurezza non in casa Microsoft per sollecitare un'altra questione importante, le politiche di condivisione delle vulnerabilità.

La prima è abbastanza eclatante e sicuramente a voi già nota perché accaduta quasi una settimana fa: dopo sole 5 ore dal lancio dell'ultima versione del browser di Mozilla, gli specialisti dei DVLabs di TippingPoint hanno orgogliosamente dichiarato di aver trovato la prima vulnerabilità di Firefox 3.0. Non mi scandalizzo della presenza di vulnerabilità in un prodotto nuovo di zecca e della velocità della scoperta rispetto al lancio: lo dico da tempo che la complessità del software è causa della presenza ineludibile di vulnerabilità nel codice (che possono essere ridotte, ma non azzerate, da un processo di security development, quale l'SDL di Microsoft). Certo vedere questi concetti applicati anche a un prodotto non Microsoft fa un certo effetto... e restituisce un senso di equità... ma lo spunto di questa notizia era per sottolineare il primo esempio di atteggiamento nei confronti delle politiche di condivisione delle vulnerabilità: TippingPoint ha scelto la strada della responsible disclosure e attenderà il rilascio della patch di Mozilla prima di fornire dettagli tramite un suo security advisory.

La seconda notizia è di queste ore, rilanciata da ZDNet: è nota la presenza di un trojan che sfrutta una vulnerabilità di Mac OS 10.4 e 10.5 non ancora corretta. Anche in questo caso, in tema di equità rispetto a Microsoft, fa specie vedere associata la parola trojan a un prodotto non Microsoft, ma non mi scandalizza visto anche che ho già espresso (sempre a proposito di Apple) di condividere l'assunto "vulnerabilites follows success". L'articolo ZDNet esprime le perplessità di un approccio spinto all'estremo sulla strada di una politica di condivisione delle vulnerabilità di tipo full disclosure:

Going full-disclosure with the idea to shorten the time until a patch is released by the vendor for the sake of closing the “window of opportunity” for malicious abuse of the vulnerability is one thing, releasing a do-it-yourself trojan template in a vulnerability-to-malware fashion is entirely another.

Cosa ne pensate? Quale politica ritenete più appropriata e perché? Ritenete che debba essere una decisione lasciata liberamente ai singoli ricercatori di sicurezza, o si potrebbe pensare di concordare un approccio comune a livello internazionale, da applicare tramite leggi/normative nazionali?

Share this post :
Filed under: , , , ,
 

Comment Notification

If you would like to receive an email when updates are made to this post, please register here

Subscribe to this post's comments using RSS

Comments

# sirus said:

Mi sembra chiaro che una politica fatta di responsible disclosure sia preferibile. L'importante è che il produttore del software fallato proponga un aggiornamento in tempi ragionevoli.

25 June 08 at 3:15 AM
# Franz said:

Mi spiace non essere in grado di rispondere imparzialmente alle domande, per cui mi limito a dire  che a me non scandalizza tanto la vulnerabilità di Mac OS X e nemmeno quella decennale di Windows, quanto la sfacciata diffusione forzata dell'OS di Redmond (nessuno ti informa nemmeno che si può chiedere il rimborso e come fare).

Solo oggi si cominciano a vedere i primi PC con Linux preinstallato,  ma ormai il "virus Windows" è già ovunque.

;-)

27 June 08 at 12:47 PM
# dovella said:

Franz

il tuo modo di parlare è a dir poco scandaloso e mi chiedo..

perchè Apple non riesce da se a portare il proprio sistema operativo su 15mila  hardware diversi che se li combini tra loro ti ritrovi con milioni di dispositivi ?

Linux nei Pc oggi? bene 120 mila firme raccolte per portare ubuntu nei Dell,  100 Mila i Pc prodotti con Ubuntu

Venduti solo 40 mila

il resto riciclati con XP

FALLITI!!!

La gente non vuole Ubuntu manco gratis tutt'al piu lo usa col dual boot per vedere qualche stupida finestra in fiamme.

Apple dopo 20 anniu vede un po di luce nel mercato sempre perchè microsoft gliene da modo ,

basterebbe una zampata per seppellirvi eternamente !!!

E non è che prima non avevate i virus , la definizione ideonea è

perchè pure loro vi schifavano!!

28 June 08 at 11:00 AM
# Franz said:

Dovella, come al solito mi fai sorridere.

;-)

28 June 08 at 1:29 PM
# FrancescoB said:

@Franz

Sbaglio o il riso abbonda sulla bocca degli stolti?

Lasciando perdere le diàtribe religiose, anche se per carattere tendo ad accalorarmi su certi temi, bisogna considerare come una immediata conoscenza di un bug possa, oltre ad accelerare sensibilmente la creazione di un exploit, permettere l'applicazione di un qualche work around per mitigare o persino risolvere il problema permettendo magari un test più approfondito delle patch da parte del produttore.

28 June 08 at 10:04 PM
# Blackstorm said:

Per prima cosa una nota: non rovinate questo ottimo blog con guerre di religione. Non è questo lo scopo del blog di Feliciano.

Quanto alla disclosure policy, personalmente sono a favore di una responsible disclosure: ossia segnalare il baco a chi di dovere, ed eventualmente rilasciare un avviso in proposito sul web. Poi chiaro, ognuno fa come crede, ma la full disclosure mi sembra portare molti più svantaggi che vantaggi in temrini di sicurezza.

02 July 08 at 5:57 PM
# FrancescoB said:

@Blackstorm

In definitiva credo di poterti dare ragione, tempi lievemente più rilassati dalla scoperta del bug alla pubblicazione di esso consentono ai produttori una migliore analisi del problema, test più approfonditi sulle patch che vanno a rilasciare e riducono la rapidità di rilascio di un tool d'attacco.

05 July 08 at 8:09 PM
# Security Blog di Feliciano Intini said:

E' indubbio che l'arrivo di Google Chrome segnerà il vero e proprio scoppio della "1a Guerra

03 September 08 at 9:42 AM

Leave a Comment

Comment Policy: No HTML allowed. URIs and line breaks are converted automatically. Your e–mail address will not show up on any public page.

(required) 
(optional)
(required) 

  
Enter Code Here: Required
Page view tracker