29.7.10

Il mercato delle vulnerabilità e le risposte di Google, Mozilla e Microsoft

Negli ultimi tempi, Google e Mozilla hanno lanciato le rispettive campagne di "bug bounty", ovvero due programmi di retribuzione dell'attività di ricerca e scoperta di vulnerabilità dei loro prodotti.
Microsoft, per il momento, non condivide questo approccio e Feliciano Intini in NonSoloSecurity Blog si chiede se sia giusto pagare in denaro chi scopre le vulnerabilità.
Riporto qui alcune idee scaturite dalla discussione con Feliciano.

Si tratta di un interessante problema la cui soluzione credo sia ben lungi dall'essere individuata, ma é bene vedere che ci siano vari approcci che cercano di stimolare la ricerca di bachi per aumentare il grado di sicurezza delle applicazioni: anche in questo argomento si agisce per approssimazioni successive e non esiste una soluzione scritta nella pietra.
Il mercato sotterraneo degli exploit esiste da quando sono state scoperte le prime vulnerabilità: per contrastare questa tendenza, alcuni anni fa è stato sviluppato l'approccio dei "bug bounty programs" non solo dai produttori di software ma anche da società di sicurezza: iDefense, ZDI , iSight, SecuriTeam, Netragard, Wabisabilabi sono i nomi di alcune di esse (sebbene Wabisabilabi abbia chiuso le attività di vulnerability auction l'anno scorso).
Nonostante sia da alcuni anni che questo tipo di mercato ha una sua reale sostanza, è effettivamente ancora difficile trovare un prezzo equo in grado di definire il valore di una vulnerabilità.
Ma il punto non riguarda solo il prezzo, ma altri tipi di motivazione che spingono un hacker (nell'accezione corretta del termine, ovvero di colui che cerca, scova, mette le mani dentro, scopre, ecc) ad analizzare un'applicazione e a individuarne le vulnerabilità: tra queste ci sono (in ordine sparso e spesso in alternativa tra loro) certamente la soddisfazione del riconoscimento, la possibilità di trovare impiego come dipendente o consulente sulla sicurezza e, non ultima, la volontà di aiutare il prossimo ad essere più sicuro. Come dicevo prima, può darsi che un hacker sia spinto da tutti questi motivi o solo da alcuni di essi. Può anche darsi che cerchi vulnerabilità solo e unicamente per ottenerne un vantaggio economico. Si sa, il mondo é bello perché è vario.
Va da sè, comunque, che il denaro é un ottimo motivatore, per cui credo sia necessario un approccio duale, che costutuisca un bilanciamento tra la soddisfazione economica e il riconoscimento, e che eviti così pericolose derive verso il mercato nero.
Come dicevo prima, é arduo dare un valore corretto all'individuazione di una vulnerabilità, perchè esistono vari gradi di pericolosità, vari gradi di diffusione della vulnerabilità e vari gradi di semplicità di implementazione di exploit. E' interessante l'approccio di Google e Mozilla che hanno definito un valore di massima della vulnerabilità, che credo sia stato messo in opera per:
- dare una struttura a una attività sempre più diffusa;
- evitare le intermediazioni delle società sopra descritte;
- evitare pericolose derive verso il mercato nero.
Sebbene condivida i principi che hanno spinto Microsoft ad abbracciare il Coordinated Vulnerability Disclosure (CVD), mi lascia freddo il suo approccio di non retribuire chi trova una vulnerabilità: a questo punto, dal momento che ci sono società disposte a comprare le vulnerabilità e a renderle disponibili al produttore e al pubblico, perchè non fare un favore all'umanità guadagnandoci anche sopra
Io vedo il bug bounty non come uno strumento per liberalizzare, quanto invece per dare una regolamentazione a un mercato che potenzialmente si potrebbe liberalizzare con la conseguenza che ben dice Feliciano di "vederlo viziare dalle dinamiche tipiche indotte dalla legge della domanda e dell’offerta".
Il bug bounty è stato lanciato da organizzazioni e aziende con una discreta maturità per una presa di consapevolezza che l'approccio corretto è di seguire varie strade.
Penso quindi sia stato condiviso sia da Google sia da Mozilla che non è possibile escludere né gli intermediari che comprano le vulnerabilità, nè il mercato nero, nè il dover far fronte alla "full disclosure" in-the-wild, né il contatto diretto.
Il tema principale è la sicurezza degli utenti e il passo fatto da Microsoft abbracciando la CVD é sicuramente epocale perché costitusice un'apertura e un riconoscimento all'importanza della comunità dei ricercatori di sicurezza (non che prima non ci fosse, era solo di minore entità).
Io auspico che lo facciano anche gli altri, come auspico che anche MS introduca il bug bounty.

Per chi volesse avere qualche altra informazione sulle ricerche accademiche in questo campo consiglio la lettura di alcuni documenti pubblicati alcuni anni fa sull'argomento:
weis2007.econinfosec.org/papers/29.pdf
www.andyozment.com/papers/weis04-ozment-bugauc-slides.pdf
www.systemdynamics.org/conferences/2007/proceed/papers/RADIA352.pdf

23.7.10

I prodotti Apple hanno più vulnerabilità. Poi viene Oracle e Microsoft é terzo. Uh?

Avete un Mac o un iPad e pensate di avere a che fare con i prodotti meno vulnerabili alle falle di sicurezza?
Mi dispiace deludervi, ma non è così.

Lo dice Secunia, e c'è da credergli considerata l'autorevolezza guadagnata dalla società di sicurezza danese in questi anni.
Secunia ha appena pubblicato un report che copre le vulnerabilità scoperte nel primo semestre del 2010: nell'analisi, i prodotti Apple guidano la classifica delle vulnerabilità conclamate, davanti a Oracle e a Microsoft.

Ma...
Il numero delle vulnerabilità non è direttamente proporzionale al grado di sicurezza di un sistema, che dipende invece dalla diffusione di un determinato sistema, dalla criticita delle vulnerabilità e dalla possibilità e capacità del loro sfruttamento.
Non dobbiamo quindi concludere che i prodotti Apple siano meno sicuri degil altri prodotti, ma soltanto che non sono così "intrinsecamente" sicuri come spesso la percezione comune vuole indicare.

A proposito degli ambienti Microsoft, Secunia afferma che le vulnerabilità maggiori si riscontrano nei prodotti di terze parti, con un rapporto del 350% tra vulnerabilità di terze parti e vulnerabilità del sistema operativo.
E, sempre secondo Secunia, questo rapporto è destinato ad aumentare.
Ma, osservo io, i prodotti di terze parti non sono totalmente indipendenti dal sistema operativo, ma sono invece ospitati all'interno di un framework offerto da esso.
Questo cosa vi fa concludere?

15.7.10

Documenti da The Ninth Workshop on the Economics of Information Security (WEIS 2010)

Per chi avesse un po' di tempo da trascorrere nella lettura durante il weekend, sotto l'ombrellone, sotto un pino o con i piedi in ammollo, consiglio i papers dell'ultimo Workshop on the Economics of Information Security, tenutosi ad Harvard lo scorso giugno.
Alcuni documenti offrono spunti interessanti per ridurre il divario che c'è tra chi fa sicurezza in azienda e chi decide/autorizza gli investimenti (va da sè che sarebbe bene che li leggessero entrambe le parti interessate) per innestare meglio le attività di sicurezza e giustificarle a fronte di necessità reali che spesso non vengono comprese da chi non si occupa di sicurezza o risk management.
Link: http://weis2010.econinfosec.org/program.html

12.7.10

E' disponibile online il webinar: "Sicurezza e monitoraggio delle sessioni utente - Windows, Unix, iSeries, Mainframe, Web - 18/22 giugno 2010

E' ora disponibile online il webinar "Sicurezza e monitoraggio delle sessioni utente - Windows, Unix, iSeries, Mainframe, Web" tenutosi il 18 e 22 giugno 2010.

Abstract
La minaccia di un attacco da parte di chi lavora all’interno di un’azienda (altrimenti detto insider) è effettivamente tangibile: recenti studi hanno posto l’accento sulla possibilità da parte degli insider di commettere crimini utilizzando un accesso autorizzato o meno ai sistemi informativi.
L’impatto di un attacco da parte di un insider può essere devastante: sia che si tratti di frode ai danni dell’azienda, sia di sabotaggio, il risultato dell’azione puo’ avere riscontri non solo materiali ma anche di reputazione aziendale.

Il webinar presenterà l’approccio al monitoraggio delle sessioni utente attraverso l’utilizzo di due soluzioni, ObserveIT e Intellinx, tra loro complementari e adatte alle varie tipologie di strumenti di accesso locale o remoto su ambiente Windows, Unix, Mainframe, AS400 (iSeries), Web, database.
L’impiego di questi prodotti vi permetterà di rispondere a domande come:
- Quali attività svolgono partner e consulenti quando si collegano ai server aziendali da remoto?
- Quali utenti sono responsabili delle modifiche alla configurazione dei server?
- Come posso monitorare l'operato degli outsourcer?
- Quali utenti hanno avuto accesso ai dati di un server?
- Chi ha avuto accesso ai dati dei miei clienti?
- Chi si è collegato a quell’ora in quel giorno?
- Chi era effettivamente l’utente che si è collegato come Administrator?
- Posso essere avvisato immediatamente a seguito di un determinato evento?

Il webinar illustrerà gli approcci che si possono adottare anche attraverso sessioni dimostrative.

Advanction è partner di ObserveIT e Intellinx in Italia e Svizzera.
Maggiori informazioni:

Webinar: http://www.advanction.com/node/156

ObserveIT: http://www.advanction.com/node/131

Intellinx: http://www.advanction.com/node/121