Divulgare i buchi nella sicurezza delle applicazioni è un bene per l'intero ecosistema

Divulgare i buchi nella sicurezza delle applicazioni è un bene per l'intero ecosistema

Dallo studio Exploring Coordinated Disclosure di Veracode emerge un dato interessante: il 90% degli sviluppatori e dei ricercatori di sicurezza concordano sul fatto che rivelare pubblicamente le vulnerabilità sia un bene per l'intero settore

di pubblicata il , alle 11:21 nel canale Security
Veracode
 

Lo studio Exploring Coordinated Disclosure è stato commissionato da Veracode e condotto da 451 Research intervistando un campione di 1.000 persone con un livello di familiarità medio-alto con i modelli di divulgazione delle vulnerabilitàsviluppatori, consulenti di sicurezza, valutatori di vulnerabilità di terze parti o tester di penetrazione, ricercatori indipendenti sulla sicurezza, tutti operanti in USA, Germania, Francia, Italia o Regno Uniti. 

Il risultato più interessante è che su un punto sviluppatori e ricercatori di sicurezza concordano (quasi) totalmente: il 90% degli intervistati è certo che per garantire la sicurezza sia fondamentale rendere pubblici i bachi di sicurezza. Può sembrare un risultato scontato, ma solo fino a pochi anni fa erano ancora numerose le aziende che non vedevano di buon occhio i ricercatori che pubblicavano le falle di sicurezza presenti nei loro software. 

Questo non significa che i ricercatori devono rendere pubblica ogni loro scoperta non appena ne hanno le prove, ma che è importante trovare una corretta politica di divulgazione, che dia il tempo a chi sviluppa di tappare le falle prima che qualche criminale ne possa approfittare. 

Chris Wysopal

"L'allineamento che lo studio rivela è molto positivo" - ha dichiarato Chris Wysopal, Chief Technology Officer and co-founder di Veracode - "La sfida, tuttavia, è che le politiche di divulgazione delle vulnerabilità sono estremamente incoerenti. Se i ricercatori non sono sicuri di come procedere quando rilevano una vulnerabilità, le organizzazioni rimangono esposte a minacce della sicurezza, dando ai criminali la possibilità di sfruttare queste vulnerabilità. Sebbene oggi disponiamo di strumenti e processi per trovare e ridurre il numero di bug nel software durante il processo di sviluppo ogni giorno vengono scoperte nuove vulnerabilità. Una solida politica di divulgazione rappresenta un elemento chiave indispensabile della strategia di sicurezza di un'organizzazione e consente ai ricercatori di lavorare con l’azienda stessa per ridurne l'esposizione. Una buona politica di divulgazione delle vulnerabilità definirà le procedure per lavorare con i ricercatori di sicurezza esterni, stabilirà le aspettative su tempistiche e risultati fissi, oltre a individuare i difetti e correggere i software prima che vengano distribuiti".

Cosa emerge dallo studio Exploring Coordinated Disclosure?

Aziende e sviluppatori stanno mostrando un crescente interesse a collaborare con i ricercatori di sicurezza. Nell'ultimo anno un terzo delle aziende prese in esame dal report ha ricevuto un report di divulgazione non richiesto, cioè qualche esperto di sicurezza ha rilevato delle criticità e contattato l'azienda per pubblicare informazioni sul problema, idealmente dopo averlo risolto. Nel 90% dei casi, aziende e ricercatori si sono coordinate per la divulgazione, mostrando un importante cambio di mentalità rispetto a solo pochi anni fa. 

La aziende hanno insomma preso coscienza del fatto che chi segnala problemi è animato da buone intenzioni, non da fama o da gloria, anche se c'è ancora un 18% di persone che chiede di essere pagato per la scoperta. Una "pretesa" che forse deriva dalla crescente adozione della pratica del bug bounty, l'offrire una ricompensa a chi scopre vulnerabilità critiche nei prodotti, lanciata da colossi come Google o Apple. Programmi che stanno avendo un discreto successo in termini mediatici, nonostante i risultati concreti siano limitati. Nonostante la metà delle organizzazioni prese in esame abbia attivati programmi di bug bounting, solo il 19% delle segnalazioni di vulnerabilità viene veicolato tramite questi

Sebbene la collaborazione fra ricercatori di sicurezza e sviluppatori sia cresciuta notevolmente, rimangono ancora alcune differenze di visione fra i due mondi. La maggior parte degli esperti di sicurezza infatti si aspetta che la correzione del baco avvenga entro 60 giorni dalla segnalazione, fatto che si scontra con la realtà dei fatti: in media, il 55% delle falle permangono dopo tre mesi dalla segnalazione.

Chi volesse approfondire può scaricare il report Exploring Coordinated Disclosure dal sito di Veracode

3 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Unrue01 Ottobre 2019, 11:59 #1
Beh, la "Security through obscurity" è un concetto ampliamente superato da decenni.
giovanni6901 Ottobre 2019, 12:01 #2
..anche perchè si fa più business facendo informazione su una potenziale rischio anche se altamente improbabile ma che costringe il cliente ad aggiornare hardware e software, piuttosto che dirgli che va tutto bene.
Wikkle01 Ottobre 2019, 12:15 #3
Perchè seguire la scia sbagliata introdotta da alcuni personaggi della Apple?
L'ecosistema non ha nulla a che vedere con la tecnologia, tantomeno con Apple e quelli che parlano di "ecosistema Apple"

[B][SIZE="5"]Ecosistema[/SIZE][/B]
Da Wikipedia, l'enciclopedia libera.

Un ecosistema è un insieme sistemico definito (spesso chiamato "unità ecologica" costituito da organismi viventi (animale/i e vegetale/i) che interagiscono tra loro (biocenosi) e con l'ambiente che li circonda (biotopo). Come tale esso è una porzione dell'ecosfera e quindi della biosfera.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^