Divulgare i buchi nella sicurezza delle applicazioni è un bene per l'intero ecosistema

Lo studio Exploring Coordinated Disclosure è stato commissionato da Veracode e condotto da 451 Research intervistando un campione di 1.000 persone con un livello di familiarità medio-alto con i modelli di divulgazione delle vulnerabilità: sviluppatori, consulenti di sicurezza, valutatori di vulnerabilità di terze parti o tester di penetrazione, ricercatori indipendenti sulla sicurezza, tutti operanti in USA, Germania, Francia, Italia o Regno Uniti. 

Il risultato più interessante è che su un punto sviluppatori e ricercatori di sicurezza concordano (quasi) totalmente: il 90% degli intervistati è certo che per garantire la sicurezza sia fondamentale rendere pubblici i bachi di sicurezza. Può sembrare un risultato scontato, ma solo fino a pochi anni fa erano ancora numerose le aziende che non vedevano di buon occhio i ricercatori che pubblicavano le falle di sicurezza presenti nei loro software. 

Questo non significa che i ricercatori devono rendere pubblica ogni loro scoperta non appena ne hanno le prove, ma che è importante trovare una corretta politica di divulgazione, che dia il tempo a chi sviluppa di tappare le falle prima che qualche criminale ne possa approfittare. 

"L'allineamento che lo studio rivela è molto positivo" - ha dichiarato Chris Wysopal, Chief Technology Officer and co-founder di Veracode - "La sfida, tuttavia, è che le politiche di divulgazione delle vulnerabilità sono estremamente incoerenti. Se i ricercatori non sono sicuri di come procedere quando rilevano una vulnerabilità, le organizzazioni rimangono esposte a minacce della sicurezza, dando ai criminali la possibilità di sfruttare queste vulnerabilità. Sebbene oggi disponiamo di strumenti e processi per trovare e ridurre il numero di bug nel software durante il processo di sviluppo ogni giorno vengono scoperte nuove vulnerabilità. Una solida politica di divulgazione rappresenta un elemento chiave indispensabile della strategia di sicurezza di un'organizzazione e consente ai ricercatori di lavorare con l’azienda stessa per ridurne l'esposizione. Una buona politica di divulgazione delle vulnerabilità definirà le procedure per lavorare con i ricercatori di sicurezza esterni, stabilirà le aspettative su tempistiche e risultati fissi, oltre a individuare i difetti e correggere i software prima che vengano distribuiti".

Cosa emerge dallo studio Exploring Coordinated Disclosure?

Aziende e sviluppatori stanno mostrando un crescente interesse a collaborare con i ricercatori di sicurezza. Nell'ultimo anno un terzo delle aziende prese in esame dal report ha ricevuto un report di divulgazione non richiesto, cioè qualche esperto di sicurezza ha rilevato delle criticità e contattato l'azienda per pubblicare informazioni sul problema, idealmente dopo averlo risolto. Nel 90% dei casi, aziende e ricercatori si sono coordinate per la divulgazione, mostrando un importante cambio di mentalità rispetto a solo pochi anni fa. 

La aziende hanno insomma preso coscienza del fatto che chi segnala problemi è animato da buone intenzioni, non da fama o da gloria, anche se c'è ancora un 18% di persone che chiede di essere pagato per la scoperta. Una "pretesa" che forse deriva dalla crescente adozione della pratica del bug bounty, l'offrire una ricompensa a chi scopre vulnerabilità critiche nei prodotti, lanciata da colossi come Google o Apple. Programmi che stanno avendo un discreto successo in termini mediatici, nonostante i risultati concreti siano limitati. Nonostante la metà delle organizzazioni prese in esame abbia attivati programmi di bug bounting, solo il 19% delle segnalazioni di vulnerabilità viene veicolato tramite questi. 

Sebbene la collaborazione fra ricercatori di sicurezza e sviluppatori sia cresciuta notevolmente, rimangono ancora alcune differenze di visione fra i due mondi. La maggior parte degli esperti di sicurezza infatti si aspetta che la correzione del baco avvenga entro 60 giorni dalla segnalazione, fatto che si scontra con la realtà dei fatti: in media, il 55% delle falle permangono dopo tre mesi dalla segnalazione.

Chi volesse approfondire può scaricare il report Exploring Coordinated Disclosure dal sito di Veracode.