Copy Link
Add to Bookmark
Report
BFi numero 13 file 05
================================================================================
---------------------[ BFi13-dev - file 05 - 20/08/2004 ]-----------------------
================================================================================
-[ DiSCLAiMER ]-----------------------------------------------------------------
Tutto il materiale contenuto in BFi ha fini esclusivamente informativi
ed educativi. Gli autori di BFi non si riterranno in alcun modo
responsabili per danni perpetrati a cose o persone causati dall'uso
di codice, programmi, informazioni, tecniche contenuti all'interno
della rivista.
BFi e' libero e autonomo mezzo di espressione; come noi autori siamo
liberi di scrivere BFi, tu sei libero di continuare a leggere oppure
di fermarti qui. Pertanto, se ti ritieni offeso dai temi trattati
e/o dal modo in cui lo sono, * interrompi immediatamente la lettura
e cancella questi file dal tuo computer * . Proseguendo tu, lettore,
ti assumi ogni genere di responsabilita` per l'uso che farai delle
informazioni contenute in BFi.
Si vieta il posting di BFi in newsgroup e la diffusione di *parti*
della rivista: distribuite BFi nella sua forma integrale ed originale.
--------------------------------------------------------------------------------
-[ C0LUMNS ]--------------------------------------------------------------------
---[ PER ANDARE D0VE D0BBiAM0 ANDARE, D0VE D0BBiAM0 ANDARE? 0VVER0: ]-----------
---[ A CHi SERVE LA FULL DiSCL0SURE? ]-----------
-----[ Andrea Monti <lawfirm@andreamonti.net> ]---------------------------------
Per andare dove dobbiamo andare, dove dobbiamo andare? Ovvero: a chi
serve la full disclosure?
E' un dato di fatto che sul lavoro (spesso gratuito) di un gruppo relativamente
piccolo di sviluppatori e hacker si e' sviluppato un fiorente mercato di
attempati venditori di insicurezza e auto-nominati "guru".
Costoro, senza il minimo pudore prosperano vendendo fumo e "casualmente"
dimenticano la fonte del loro "successo": il lavoro della comunita'
underground. Ma, nello stesso tempo, sono pronti, in pubblico, a buttare la
croce su quelli che, in privato, danno loro di che vivere.
Questa ipocrisia diffusa si traduce, in pratica, in un atteggiamento che
criminalizza la diffusione di informazioni sulle vulnerabilita' (quando,
ignorandole, non si riesce a fare "bella figura") e che "chiude un occhio"
quando la confidenza di uno sprovveduto programmatore consente di "segnare un
punto" con il megacliente di turno.
Un altro fronte comprensibilmente avversario della libera circolazione delle
informazioni sulle vulnerabilita' e' costituito dai produttori che, sempre piu'
spesso, devono sopportare, impotenti, la pubblicita' negativa derivante dalla
scoperta dell'ennesima vulnerabilita', magari addirittura gia' nota ma tenuta
nascosta.
Arrivera', presto o tardi, il giorno in cui qualcuno, grazie a qualche
messaggio postato in giro per la rete, sara' chiamato a rispondere davanti a un
giudice per avere deliberatamente venduto un prodotto noto per essere difettoso
(una sola, in altri termini).
Nel frattempo, pero' a finire in tribunale (o comunque a subire minacce di
azioni legali) sono proprio coloro che, spinti dalle piu' diverse motivazioni,
decidono di pubblicare i risultati dei loro studi.
L'ultimo esempio, in ordine di tempo, e' proprio quello che ha riguardato
articoli asseritamente pubblicati su BFi e che hanno provocato la reazione di
un fabbricante di chiavette per distributori automatici il quale si lamentava,
tramite il suo avvocato, del fatto che la pubblicazione di informazioni
relative all'oggetto in questione sarebbe stata fatta con il solo scopo di
istigare le persone a fruire gratuitamente (e illegalmente) di bevande e snack.
Questo caso, a prescindere dal merito, e' utile perche' consente di definire in
modo chiaro il problema in termini piu' generali: e' giusto che chi mette in
commercio prodotti vulnerabili sperando che nessuno se ne accorga abbia il
diritto di zittire chi si accorge del difetto e lo rende pubblico? E dall'altro
lato: si ha il dovere di pubblicare senza particolari cautele una
vulnerabilita' che - se sfruttata in malafede - potrebbe provocare danni anche
irreparabili? Il punto e' che entrambe le posizioni, cosi' come sono
formulate, sono insostenibili. La prima non e' difendibilie, perche' a
nessuno, nemmeno a una multinazionale del mondo IT, puo' essere consentito di
truffare i clienti e di esporre a pericolo le infrastrutture di comunicazione
del Paese (ma pare che di questo, forze di polizia e magistrati non intendano
occuparsi). La seconda non puo' funzionare, perche' a nessuno e' consentito
"farsi giustizia da solo" e dunque, se chi ha rilasciato il prodotto
"taroccato" non provvede a rimediare, questo non e' sufficiente per
giustificare la distribuzione di informazioni in modalita' tale da rendere
agevole a chiunque provocare danni. In sostanza, varrebbe la pena di
riflettere su un modello alternativo di pubblicazione delle vulnerabilita' che
consenta di dare il giusto credito scientifico e professionale a chi le scopre
e a evitare che gli autonominati "guru" di cui sopra, speculino sul lavoro
altrui. La risposta al problema puo' essere stabilire un rilascio delle
informazioni a fasi progressive, che parte dalla comunicazione al produttore e
alle forze di polizia, per poi, diffondere pubblicamente la vulnerabilita'
senza fornire i dettagli per sfruttarla, e, solo dopo un ragionevole periodo di
tempo, rendere disponibile tutto cio' che e' noto sul bug. La "responsible
disclosure" - perche' di questo si tratta - non e' certo un tema nuovo e
universalmente condiviso nel circuito della sicurezza. Pero', a pensarci su,
sembra proprio essere l'unico mezzo per dare a Cesare quello che e' di Cesare.
Informando, innanzi tutto, produttori e forze dell'ordine si mettono i primi
nella condizione di rimediare al malfatto e i secondi, di imparare qualcosa, di
non poter ignorare l'esistenza di un possibile illecito compiuto dal produttore
(oltre a poter proteggere immediatamente le infrastrutture critiche). La
circolazione delle informazioni prive dei dettagli consente ai clienti di
percepire una necessita' riconoscendo, contemporaneamente, gli esperti di
sicurezza (che sicuramente sapranno cosa fare) dagli show-man (che al di la' di
qualche frase in anglo-milanese, non potranno andare). Il rilascio completo
delle informazioni, quando oramai il peggio e' passato, serve, infine a
consentire ai seri studiosi del settore di migliorare le proprie conoscenze.
Una provocazione? Forse, ma e' ragionevole pensare che questa proposta sia uno
dei pochi modi, se non l'unico, per continuare a fare circolare le informazioni
senza rischiare di incorrere in violazioni di legge.
================================================================================
------------------------------------[ EOF ]-------------------------------------
================================================================================
